LinkBack URL
About LinkBacks- 21-11-2008 #1
- Data de Ingresso
- May 2005
- Localização
- Rio de Janeiro-RJ
- Idade
- 30
- Posts
- 153
- Reputação
- 0
"possible SYN flooding on port 3128. Sending cookies" pode/deve ser ataque???Pessoal,
Gostaria de saber se isso "proxy kernel: possible SYN flooding on port 3128. Sending cookies" que está aparecendo no /var/messages/log do meu servidor proxy é um ataque.
Se sim como eu devo proceder?
De vez enquando aparecia essa mensagem, tipo uma vez por dia, agora aparece umas 200 e a navegação via proxy tá ruim prá caramba. Lenta de mais, sendo que não foi mexido em nada, nenhuma configuração.
Já estava habilitada a proteção para o syn flood (echo 1 > /proc/sys/net/ipv4/tcp_syncookies) mas mesmo assim aparece essa mensagem e o servidor ficou lento de uns dias para cá.
Ontem eu apaguei todo o conteúdo da cache, zerei, e rebootei o servidor, funcionou bem por umas 3 horas depois começou de novo.
O servidor é um Quad-Core, com 4Gb de RAM, 1Tb de HD, o squid tá setado com 2Gb de RAM e 70Gb de cache, em modo diskd, atende a 400 clientes e antes de dar essa merda toda passava nele 15Gb de tráfego por dia, ele vinha me ajudando a economizar mais ou menos 20% de banda.
Abraço,
Rodrigo.
- 21-11-2008 #2
Super Moderador 
- Data de Ingresso
- Feb 2006
- Localização
- Sacramento, MG
- Idade
- 26
- Posts
- 4.980
- Posts de Blog
- 24
- Reputação
- 708
isso eh um metodo de proteção do kernel.. talvez varios pedidos SYN na porta do proxy ao mesmo tempo.. ai ele encara como se fosse um ataque... mas eh normal..
veja estes artigos:
need help! possible SYN flooding on port 80 - Web Hosting Talk - The largest, most influential web hosting community on the Internet
SYN Flood DoS attack Experiments
kernel: possible SYN flooding on port 2790. Sending cookies.
Securing Debian Manual - Questões feitas com freqüência (FAQ)
Securing Debian Manual - Após a instalaçãoSds.
Alexandre Correa
Onda Internet
www.ondainternet.com.br
Blog http://alexandrecorrea.under-linux.org/
Consultoria Redes, Servidores, Linux, Mikrotik, IkarusOS, StarOSAprenda a usar o forum, dica by Hitler: http://www.youtube.com/watch?v=8zFYt1_0FUE
Leia o FAQ UnderLinux !!!!!http://under-linux.org/wiki/index.ph...Linux_Wiki:FAQ
Sistema de gerenciamento para provedor:
MyAuth Gateway 3: www.myauth.com.br
Sistema de Cache: www.supercache.com.br
- 21-11-2008 #3
- Data de Ingresso
- May 2005
- Localização
- Rio de Janeiro-RJ
- Idade
- 30
- Posts
- 153
- Reputação
- 0
Alexandre,
Obrigado pelas explicações, mas o que me intriga é o seguinte, esse servidor foi colocado em produção no dia 17/10, filtrei no messages (cat /var/log/messages | grep SYN flooding on port 3128 > synflood) do dia 17/10 até hoje os acontecimentos dessa mensagem foram:
dia qtd
16/11 02
17/11 125
18/11 51
19/11 1
20/11 207
21/11 279
Sendo que nos dias que ocorreram com mais frequencia essa mensagem foi disparada sistematicamente de minuto em minuto.
Olhei agora no servidor e as 16:26:00 as mensagens pararam.
Preciso de uma forma de identificar se é ataque e se for de onde está vindo para que eu possa tomar providências.
Att,
Rodrigo.
Postado originalmente por alexandrecorrea 
- 21-11-2008 #4 Super Moderador
- Data de Ingresso
- Feb 2006
- Localização
- Sacramento, MG
- Idade
- 26
- Posts
- 4.980
- Posts de Blog
- 24
- Reputação
- 708
nao deve ser ataque nao.. deve ser acesso mesmo..Sds.
Alexandre Correa
Onda Internet
www.ondainternet.com.br
Blog http://alexandrecorrea.under-linux.org/
Consultoria Redes, Servidores, Linux, Mikrotik, IkarusOS, StarOSAprenda a usar o forum, dica by Hitler: http://www.youtube.com/watch?v=8zFYt1_0FUE
Leia o FAQ UnderLinux !!!!!http://under-linux.org/wiki/index.ph...Linux_Wiki:FAQ
Sistema de gerenciamento para provedor:
MyAuth Gateway 3: www.myauth.com.br
Sistema de Cache: www.supercache.com.br
- 23-11-2008 #5
Super Moderador Cacique - Data de Ingresso
- Apr 2003
- Localização
- Mato Grosso do Sul
- Posts
- 3.659
- Posts de Blog
- 16
- Reputação
- 512
vários programas p2p utilizam a porta tcp/80, com isso podem haver muitas conexões sendo redirecionadas para a porta 3128, podendo gerar a mensagem.
Machine Registered: 300.107
"Não queira saber tudo
mas seja bom naquilo que sabe."
Educação é bom e evita penalização!
____
Copiando do Alexandre Correa - (clique aqui)
____
-= Como fazer perguntas inteligentes =- <-- cliquem aqui!!!!
- 27-11-2008 #6
- Data de Ingresso
- May 2005
- Localização
- Rio de Janeiro-RJ
- Idade
- 30
- Posts
- 153
- Reputação
- 0
Solucionado!Para que o tópico não fique sem um desfecho, o que estava ocorrendo:
03 clientes do provedorzinho que esta utilizando o servidor de cache estavam com vírus e disparavam mais 50.000 pacotes na rede por minuto, dai o proxy alertava que estava recebendo muitas conexões e eu logo pensei que vinha de fora. Não chegava a parar o serviço mas o deixava bem lento. (squid).
Mas a respostas estava bem debaixo da barba.
Então fica o conselho, quando ocorrer essas mensagens observe primeiramente sua rede interna, rode algum programa de preferência em modo promiscuo analise o comportamento do tráfego de rede. Em nosso caso foi utilizado o velho e bom iptraf
Solução foi fazer aquela visita técnica e retirar o vírus. Não é a solução definitiva mas por hora resolveu e mais adiante iremos colocar algo nas regras de conexão do cliente para que um cliente não derrube nenhum serviço. Alguma sugestão?
Agradeço a todos que ajudaram.
- 27-11-2008 #7 Super Moderador
- Data de Ingresso
- Feb 2006
- Localização
- Sacramento, MG
- Idade
- 26
- Posts
- 4.980
- Posts de Blog
- 24
- Reputação
- 708
aumentando buffers e fazendo um tunning no sysctl.. ajuda tambem
Sds.
Alexandre Correa
Onda Internet
www.ondainternet.com.br
Blog http://alexandrecorrea.under-linux.org/
Consultoria Redes, Servidores, Linux, Mikrotik, IkarusOS, StarOSAprenda a usar o forum, dica by Hitler: http://www.youtube.com/watch?v=8zFYt1_0FUE
Leia o FAQ UnderLinux !!!!!http://under-linux.org/wiki/index.ph...Linux_Wiki:FAQ
Sistema de gerenciamento para provedor:
MyAuth Gateway 3: www.myauth.com.br
Sistema de Cache: www.supercache.com.br
Tópicos Similares
Recebi uma dica pra quando da o erro "Invalid Port"
Por Xevit no fórum Mikrotik web-proxyRespostas: 5Último Post: 21-07-2008, 09:38Alguém sabe o q é este menu """Make Supout.rif"""
Por faieppi no fórum MikrotikRespostas: 1Último Post: 29-03-2008, 08:50"Connection refused (port 10024)"
Por Itise no fórum Sendmail/Qmail/PostfixRespostas: 2Último Post: 17-01-2007, 19:17Erro "Cannot open HTTP Port" no SQUID !!!! *URGENT
Por marcelloduarte no fórum Adm. em GeralRespostas: 4Último Post: 03-02-2004, 17:13
Visitantes encontraram esta pagina procurando por:
Nobody landed on this page from a search engine, yet!
Permissões de Postagem
- Você não pode iniciar novos tópicos
- Você pode enviar respostas
- Você não pode enviar anexos
- Você não pode editar suas mensagens
Marcadores