Achim Hoffmann wrote:
Oct 28 11:15:58 sink kernel: possible SYN flooding on port 80. Sending cookies. Oct 28 11:16:59 sink kernel: possible SYN flooding on port 80. Sending cookies.
Woher können die stammen ? Der Kernel ist 2.2.22 mit "TCP syncookie support" Gute oder schlechte Einträge ?
sieht nach in der Tat nach SYN Flooding aus. Die Meldung kommt vom kernel der versucht den Angriff mit SYN-Cookies abzuwehren. Gegen die SYN-Cookies gibt es aber eine DDoS Vulnerability (habe grade keine aktuelle URL, siehe CERT oder securityfocus), deswegen werden sie eigentlich nicht empfohlen. Abschalten mit:
echo 0 > /proc/sys/net/ipv4/tcp_syncookies
du meinst diese hier? | http://cert.uni-stuttgart.de/ticker/article.php?mid=552 galt bei 2.2.x nur für kernel < 2.2.20.
Mit iptables kann man SYN Flooding mit der --limit Option begegnen, keine Ahnung ob das bei ipchains (Kernel 2.2.22) auch geht.
nein, ipchains kann das nicht. micha