+ Responder ao Tópico



  1. #1

    Padrão "possible SYN flooding on port 3128. Sending cookies" pode/deve ser ataque???

    Pessoal,

    Gostaria de saber se isso "proxy kernel: possible SYN flooding on port 3128. Sending cookies" que está aparecendo no /var/messages/log do meu servidor proxy é um ataque.

    Se sim como eu devo proceder?

    De vez enquando aparecia essa mensagem, tipo uma vez por dia, agora aparece umas 200 e a navegação via proxy tá ruim prá caramba. Lenta de mais, sendo que não foi mexido em nada, nenhuma configuração.

    Já estava habilitada a proteção para o syn flood (echo 1 > /proc/sys/net/ipv4/tcp_syncookies) mas mesmo assim aparece essa mensagem e o servidor ficou lento de uns dias para cá.

    Ontem eu apaguei todo o conteúdo da cache, zerei, e rebootei o servidor, funcionou bem por umas 3 horas depois começou de novo.

    O servidor é um Quad-Core, com 4Gb de RAM, 1Tb de HD, o squid tá setado com 2Gb de RAM e 70Gb de cache, em modo diskd, atende a 400 clientes e antes de dar essa merda toda passava nele 15Gb de tráfego por dia, ele vinha me ajudando a economizar mais ou menos 20% de banda.

    Abraço,

    Rodrigo.

  2. #2



  3. #3

    Padrão

    Alexandre,

    Obrigado pelas explicações, mas o que me intriga é o seguinte, esse servidor foi colocado em produção no dia 17/10, filtrei no messages (cat /var/log/messages | grep SYN flooding on port 3128 > synflood) do dia 17/10 até hoje os acontecimentos dessa mensagem foram:

    dia qtd
    16/11 02
    17/11 125
    18/11 51
    19/11 1
    20/11 207
    21/11 279

    Sendo que nos dias que ocorreram com mais frequencia essa mensagem foi disparada sistematicamente de minuto em minuto.

    Olhei agora no servidor e as 16:26:00 as mensagens pararam.

    Preciso de uma forma de identificar se é ataque e se for de onde está vindo para que eu possa tomar providências.

    Att,

    Rodrigo.

    Citação Postado originalmente por alexandrecorrea Ver Post

  4. #4

    Padrão

    nao deve ser ataque nao.. deve ser acesso mesmo..



  5. #5

    Padrão

    vários programas p2p utilizam a porta tcp/80, com isso podem haver muitas conexões sendo redirecionadas para a porta 3128, podendo gerar a mensagem.

  6. #6

    Padrão Solucionado!

    Para que o tópico não fique sem um desfecho, o que estava ocorrendo:

    03 clientes do provedorzinho que esta utilizando o servidor de cache estavam com vírus e disparavam mais 50.000 pacotes na rede por minuto, dai o proxy alertava que estava recebendo muitas conexões e eu logo pensei que vinha de fora. Não chegava a parar o serviço mas o deixava bem lento. (squid).

    Mas a respostas estava bem debaixo da barba.

    Então fica o conselho, quando ocorrer essas mensagens observe primeiramente sua rede interna, rode algum programa de preferência em modo promiscuo analise o comportamento do tráfego de rede. Em nosso caso foi utilizado o velho e bom iptraf

    Solução foi fazer aquela visita técnica e retirar o vírus. Não é a solução definitiva mas por hora resolveu e mais adiante iremos colocar algo nas regras de conexão do cliente para que um cliente não derrube nenhum serviço. Alguma sugestão?

    Agradeço a todos que ajudaram.



  7. #7

    Padrão

    aumentando buffers e fazendo um tunning no sysctl.. ajuda tambem