[Ayuda] Re: possible SYN flooding

To: Javier Delgado <javierd en paralax com mx>
Subject: [Ayuda] Re: possible SYN flooding
From: "lsantiago" <lsantiago en wstation com>
Date: Wed, 23 Apr 2003 14:11:54 -0500
Cc: Ayuda Linux <ayuda en linux org mx>
In-reply-to: <5.2.1.1.0.20030423122016.025b88b8@paralax.com.mx>
List-archive: <https://pegaso.fisica.unam.mx/pipermail/ayuda/>
List-help: <mailto:ayuda-request@linux.org.mx?subject=help>
List-id: GNU/Linux help list <ayuda.linux.org.mx>
List-post: <mailto:ayuda@linux.org.mx>
List-subscribe: <https://pegaso.fisica.unam.mx/mailman/listinfo/ayuda>, <mailto:ayuda-request@linux.org.mx?subject=subscribe>
List-unsubscribe: <https://pegaso.fisica.unam.mx/mailman/listinfo/ayuda>, <mailto:ayuda-request@linux.org.mx?subject=unsubscribe>
References: <5.2.1.1.0.20030423122016.025b88b8@paralax.com.mx>
Sender: ayuda-admin en linux org mx

Que tal Javier,

Para empezar debieras tener iptables o ipchains
bloqueando ataques SYN flooding (me imagino que si lo tienes).

Nosotros usamos iptables:

   ....
   ## SYN-FLOODING PROTECTION
   #
   iptables -N syn-flood
   iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
   iptables -A syn-flood -j DROP

iptables -A INPUT -i $EXTIF -p tcp --syn -j syn-flood....

Y por otra parte un ataque "SYN flooding" es muy frecuente, y podría

hacer que tu máquina dejara de funcionar durante el ataque.

No creo que sea problema de memoria, porque si eso fuera
entonces tu máquina se congelaría completamente. Pero no

esta por demas que pusieras a prueba esa memoria en otra máquina.

Por otra parte
me imagino que después de un tiempo tu máquina responde normalmente
o me equivoco? Si responde normalmente, entonces, puede ser a un
problema en la conexión a tu servidor, que puede ser causado por
alguna falla real del acceso o por algun conflicto o daño en tu
tarjeta de red. Te recomiendo que verifiques si detectas muchas

colisiones en tu tarjeta de red.Saludos.

Javier Delgado writes:

HolaAqui dando lata de nuevo.Desde que aumentamos la memoria a nuesros servidro hemos tenimdo muchascaidas del sistema, tal ves sea conicidencia, pero estoy tratando deaveriguar que pasa.he estado revisando las bitacoras y e encontrado este mensaje ne las horasaproximadas de las caidas del sistema:Apr 22 21:35:14 www kernel: possible SYN flooding on port 80. Sendingcookies.Segun el depto tecnico de nuestrso proovedor, es un mensaje normal.Como se puede distinguir entonces de un ataque verdadero..Se puede hacer algo al respecto?DAdo que nuestro acceso es remoto, solo se que pierdo contactocompletamente con el servidor, no responde ni a un ping. PEro lasbitacoras muestran que el servidor sigue trabajando, peroSe que no todos los servicios estan caidos. HAy un programita que checa siel ftp esta activo, cada 15 minutos, y no me reporta nada raro, pero elacceso a la red esta fuera...EStoy tentado a pedir que le quiten la memoria extra, pero casi estoyseguro que no es el problema....Pregunta:Se puede hacer un script que monitore el acceso a la red (un ping a otroservidor) y si no lo puede hacer, que reinicie el servidor...Necesito encotrar una solucion antes de que mis clientes me linchen...PD utilizo linux slackware


_______________________________________________
Ayuda mailing list
Ayuda en linux org mx
Para salir de la lista: http://mail.linux.org.mx/mailman/listinfo/ayuda/

Referencias:
- [Ayuda] possible SYN flooding
  - De: Javier Delgado

Previo por Fecha: [Ayuda] No arranca mi Servidor.
Siguiente por Fecha: Re: [Ayuda] ayuda para entrar a linux por el GRUB sin tener clave
Previo por Hilo: [Ayuda] possible SYN flooding
Siguiente por Hilo: [Ayuda] No arranca mi Servidor.

[Hilos de Discusión] [Fecha] [Tema] [Autor]