Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. Pessoal,

    Gostaria de saber se isso "proxy kernel: possible SYN flooding on port 3128. Sending cookies" que está aparecendo no /var/messages/log do meu servidor proxy é um ataque.

    Se sim como eu devo proceder?

    De vez enquando aparecia essa mensagem, tipo uma vez por dia, agora aparece umas 200 e a navegação via proxy tá ruim prá caramba. Lenta de mais, sendo que não foi mexido em nada, nenhuma configuração.

    Já estava habilitada a proteção para o syn flood (echo 1 > /proc/sys/net/ipv4/tcp_syncookies) mas mesmo assim aparece essa mensagem e o servidor ficou lento de uns dias para cá.

    Ontem eu apaguei todo o conteúdo da cache, zerei, e rebootei o servidor, funcionou bem por umas 3 horas depois começou de novo.

    O servidor é um Quad-Core, com 4Gb de RAM, 1Tb de HD, o squid tá setado com 2Gb de RAM e 70Gb de cache, em modo diskd, atende a 400 clientes e antes de dar essa merda toda passava nele 15Gb de tráfego por dia, ele vinha me ajudando a economizar mais ou menos 20% de banda.

    Abraço,

    Rodrigo.




  2. Alexandre,

    Obrigado pelas explicações, mas o que me intriga é o seguinte, esse servidor foi colocado em produção no dia 17/10, filtrei no messages (cat /var/log/messages | grep SYN flooding on port 3128 > synflood) do dia 17/10 até hoje os acontecimentos dessa mensagem foram:

    dia qtd
    16/11 02
    17/11 125
    18/11 51
    19/11 1
    20/11 207
    21/11 279

    Sendo que nos dias que ocorreram com mais frequencia essa mensagem foi disparada sistematicamente de minuto em minuto.

    Olhei agora no servidor e as 16:26:00 as mensagens pararam.

    Preciso de uma forma de identificar se é ataque e se for de onde está vindo para que eu possa tomar providências.

    Att,

    Rodrigo.

    Citação Postado originalmente por alexandrecorrea Ver Post

  3. nao deve ser ataque nao.. deve ser acesso mesmo..



  4. vários programas p2p utilizam a porta tcp/80, com isso podem haver muitas conexões sendo redirecionadas para a porta 3128, podendo gerar a mensagem.






Tópicos Similares

  1. QMail - sera' que tem algum "syn-flood" novo?
    Por Edilmar no fórum Servidores de Rede
    Respostas: 6
    Último Post: 28-11-2007, 23:16
  2. Ataques Syn Flood
    Por fred_m no fórum Servidores de Rede
    Respostas: 15
    Último Post: 15-07-2005, 16:37
  3. duvida sobre regra para syn flood
    Por kelvin no fórum Servidores de Rede
    Respostas: 3
    Último Post: 13-06-2005, 22:04
  4. bloqueio de syn floods
    Por roggy no fórum Servidores de Rede
    Respostas: 6
    Último Post: 09-06-2005, 08:11
  5. duvida sobre syn-floods
    Por no fórum Servidores de Rede
    Respostas: 8
    Último Post: 14-05-2005, 12:10

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L