OpenForum RSS: Раздел полезных советов: Борьба с SYN-флудом при помощи ipta... https://m.opennet.me/openforum/vsluhforumID3/105939.html Начиная с ядра Linux 3.12 и инструментария IPTables 1.4.21 в iptables доступна поддержка новой цели - SYNPROXY, позволяющей в десятки раз увеличить интенсивность обработки SYN-пакетов при противостоянии таким атакам, как SYN Flood, SYN-ACK Flood и ACK Flood. Например, если в обычной конфигурации ядра сервер на базе CPU Xeon X5550 способен обработать приблизительно 200 тысяч SYN- или ACK-пакетов в секунду, то при включении SYNPROXY производительность возрастает до нескольких миллионов, чего достаточно для отражения небольших атак без привлечения специализированного оборудования.<br><br>Включаем в /etc/sysctl.conf syncookies и timestamps, так как они необходимы для работы SYNPROXY:<br><br> sysctl -w net/ipv4/tcp_syncookies=1<br> sysctl -w net/ipv4/tcp_timestamps=1<br><br>Исключаем ACK-пакеты из обработки системой отслеживания соединений (отслеживаем только уже установленные соединения, ACK-пакеты снабжаются меткой INVALID), что помогает снизить нагрузку при ACK-флуде:<br> <br> sysctl -w net/netfilter/nf_conntrack_tcp_loo Борьба с SYN-флудом при помощи iptables и SYNPROXY (вадя) https://m.opennet.me/openforum/vsluhforumID3/105939.html#10 Fri, 29 Jan 2021 14:28:49 GMT Направляем в цель INVALID и потом его добивам. Супер !<br> Борьба с SYN-флудом при помощи iptables и SYNPROXY (AOleg) https://m.opennet.me/openforum/vsluhforumID3/105939.html#8 Sat, 03 Dec 2016 11:06:43 GMT В моём случае не работали правила из-за бекэнда, пришлось добавить ! -s 127.0.0.1/32 иначе из-за своих же запросов он самозабанивался =\ некогда такого раньше не видел...<br> Борьба с SYN-флудом при помощи iptables и SYNPROXY (имя) https://m.opennet.me/openforum/vsluhforumID3/105939.html#7 Mon, 28 Dec 2015 05:47:06 GMT ты оригинальную статью смотрел? а дату публикации видел? 2014/04/11 - причём тут rhel/centos 7, умник?<br> Борьба с SYN-флудом при помощи iptables и SYNPROXY (DeerFriend) https://m.opennet.me/openforum/vsluhforumID3/105939.html#6 Sat, 26 Dec 2015 15:28:13 GMT rhel/centos 7 версии используют по-умолчанию firewalld, почему тут приводятся команды от iptables?<br> Борьба с SYN-флудом при помощи iptables и SYNPROXY (Аноним) https://m.opennet.me/openforum/vsluhforumID3/105939.html#5 Fri, 25 Dec 2015 04:38:55 GMT да забей, товаришь из redhat отрабатывает пиар бюджет. Надо же о себе постоянно напоминать - хоть бредом.. зато на слуху.<br> Борьба с SYN-флудом при помощи iptables и SYNPROXY (mumu) https://m.opennet.me/openforum/vsluhforumID3/105939.html#4 Wed, 23 Dec 2015 22:31:46 GMT Вот тут лучше расписано: http://infoboxcloud.ru/community/blog/iaas/125.html<br> Борьба с SYN-флудом при помощи iptables и SYNPROXY (ку) https://m.opennet.me/openforum/vsluhforumID3/105939.html#3 Wed, 16 Dec 2015 14:27:47 GMT ничего, что это разные программы?<br> Борьба с SYN-флудом при помощи iptables и SYNPROXY (pavlinux) https://m.opennet.me/openforum/vsluhforumID3/105939.html#1 Mon, 14 Dec 2015 13:35:21 GMT &gt; sysctl -w net/ipv4/tcp_timestamps=1<br><br>То есть в редшляпе считают установку временных отметок - повышением производительности?! :\ <br><br>&gt; (маску можно выделить из логов или через "tcpdump -nnA dst host 192.168.1.10 and port http"):<br>&gt; iptables -A INPUT -p tcp --dport 80 -m string --string "маска_блокировки" --algo bm -j DROP<br><br>Загадка "tcpdump флаг -n и -m string --string" Найдите общее. <br>