Pessoal,
Gostaria de saber se isso "proxy kernel: possible SYN flooding on port 3128. Sending cookies" que está aparecendo no /var/messages/log do meu servidor proxy é um ataque.
Se sim como eu devo proceder?
De vez enquando aparecia essa mensagem, tipo uma vez por dia, agora aparece umas 200 e a navegação via proxy tá ruim prá caramba. Lenta de mais, sendo que não foi mexido em nada, nenhuma configuração.
Já estava habilitada a proteção para o syn flood (echo 1 > /proc/sys/net/ipv4/tcp_syncookies) mas mesmo assim aparece essa mensagem e o servidor ficou lento de uns dias para cá.
Ontem eu apaguei todo o conteúdo da cache, zerei, e rebootei o servidor, funcionou bem por umas 3 horas depois começou de novo.
O servidor é um Quad-Core, com 4Gb de RAM, 1Tb de HD, o squid tá setado com 2Gb de RAM e 70Gb de cache, em modo diskd, atende a 400 clientes e antes de dar essa merda toda passava nele 15Gb de tráfego por dia, ele vinha me ajudando a economizar mais ou menos 20% de banda.
Abraço,
Rodrigo.
-
21-11-2008, 16:49 #1
- Ingresso
- May 2005
- Posts
- 159
"possible SYN flooding on port 3128. Sending cookies" pode/deve ser ataque???
-
21-11-2008, 17:24 #2
isso eh um metodo de proteção do kernel.. talvez varios pedidos SYN na porta do proxy ao mesmo tempo.. ai ele encara como se fosse um ataque... mas eh normal..
veja estes artigos:
need help! possible SYN flooding on port 80 - Web Hosting Talk - The largest, most influential web hosting community on the Internet
SYN Flood DoS attack Experiments
kernel: possible SYN flooding on port 2790. Sending cookies.
Securing Debian Manual - Questões feitas com freqüência (FAQ)
Securing Debian Manual - Após a instalação
-
21-11-2008, 17:48 #3
- Ingresso
- May 2005
- Posts
- 159
Alexandre,
Obrigado pelas explicações, mas o que me intriga é o seguinte, esse servidor foi colocado em produção no dia 17/10, filtrei no messages (cat /var/log/messages | grep SYN flooding on port 3128 > synflood) do dia 17/10 até hoje os acontecimentos dessa mensagem foram:
dia qtd
16/11 02
17/11 125
18/11 51
19/11 1
20/11 207
21/11 279
Sendo que nos dias que ocorreram com mais frequencia essa mensagem foi disparada sistematicamente de minuto em minuto.
Olhei agora no servidor e as 16:26:00 as mensagens pararam.
Preciso de uma forma de identificar se é ataque e se for de onde está vindo para que eu possa tomar providências.
Att,
Rodrigo.
Postado originalmente por alexandrecorrea
-
21-11-2008, 17:50 #4
nao deve ser ataque nao.. deve ser acesso mesmo..
-
23-11-2008, 15:14 #5
vários programas p2p utilizam a porta tcp/80, com isso podem haver muitas conexões sendo redirecionadas para a porta 3128, podendo gerar a mensagem.
-
27-11-2008, 17:23 #6
- Ingresso
- May 2005
- Posts
- 159
Solucionado!
Para que o tópico não fique sem um desfecho, o que estava ocorrendo:
03 clientes do provedorzinho que esta utilizando o servidor de cache estavam com vírus e disparavam mais 50.000 pacotes na rede por minuto, dai o proxy alertava que estava recebendo muitas conexões e eu logo pensei que vinha de fora. Não chegava a parar o serviço mas o deixava bem lento. (squid).
Mas a respostas estava bem debaixo da barba.
Então fica o conselho, quando ocorrer essas mensagens observe primeiramente sua rede interna, rode algum programa de preferência em modo promiscuo analise o comportamento do tráfego de rede. Em nosso caso foi utilizado o velho e bom iptraf
Solução foi fazer aquela visita técnica e retirar o vírus. Não é a solução definitiva mas por hora resolveu e mais adiante iremos colocar algo nas regras de conexão do cliente para que um cliente não derrube nenhum serviço. Alguma sugestão?
Agradeço a todos que ajudaram.
-
27-11-2008, 18:58 #7
aumentando buffers e fazendo um tunning no sysctl.. ajuda tambem
Citação
