Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. Não sei bem como funciona, mas sei que muitas dessas conexões deixam a navegação dos clientes não muito legal. Começam a acontecer timeouts, os clientes mal conseguem carregar as páginas. Como alguns poucos clientes bichados podem derrubar uma rede desse jeito?

    Tem como impedir isso de acontecer SEM limitar número de conexões simultâneas?? Fica meio inviável ficar mandando os clientes formatarem, boa parte não aceita, se sente lesado, e de fato até o são de certa forma. Fora que com certa quantidade de clientes, por mais que vc saia bloqueando eles, todo dia aparecem mais uns 5 com pcs bichados...

  2. Os pacotes syn sao necessarios para qualquer conexao TCP... Nao tem como evita-los...

    Pelo que eu entendi, no entanto, seus clientes estao ficam "travados" no estado SYN_SENT?

    Isto pode ser um problema de MTU... Descreva melhor o que esta acontecendo que talvez a solucao seja ate simples...



  3. algum(ns) clientes às vezes geram muitos syn_sent e received. Normalmente quando está tudo certo funcionando direitinho, em ip>firewall>connections tem alguns poucos syn, coisa de 40-50 estourando. Quando entra algum cliente com alguns tipos de vírus na máquina, ele sozinho gera uns 200 desses syn. Quando isso acontece a navegação de todos os clientes começa a ficar instável. Por exemplo, eu tento abrir páginas e ele demora anos pra fazer cada uma das conexões (olhando no canto esquerdo inferior da tela do navegador), e dá timeout o tempo todo, não abrindo a página. Vou pro gerenciador de downloads fazer testes já que ele abre trocentas conexões simultâneas pra baixar um arquivo, e ele fica lá um tempão e não consegue fazer nenhuma conexão com o servidor do arquivo, ou faz 1-2 no tempo em que normalmente já teria feito 20.

    Eu desconecto e bloqueio o cliente, os syn que o ip dele estava criando somem em poucos segundos e o funcionamento volta ao normal instantaneamente.

    É mais ou menos isso que acontece.

  4. Você está sofrendo um ataque de DoS (Denial of Service) através de Syn Flood.
    Todo inicio de conexão TCP usa o three-way handshake, SYN/SYN-ACK/ACK.
    Se o cliente envia vários SYN e não responde com o ACK final, seu servidor enfileira todas essas requisições até que não consiga mais responder a nenhuma outra requisição.

    O grande problema disso é descobrir e bloquear a fonte, pois normalmente o ataque é distribuido entre vários computadores. Porém, pelo que parece esse não é seu caso, você sabe de onde se origina o ataque.

    Há ainda a possibilidade de alterar parâmetros da pilha de TCP para diminuir os efeitos maléficos destes ataques, mas isso poderia comprometer a performance de seu sistema e de seus clientes que nada tem a ver com isso !

    Portanto, não vejo outra alternativa a não ser entrar em contato com o cliente causador do ataque e explicar o que está ocorrendo. Com certeza, ele é apenas um hospedeiro e nem sabe disso !

    Apenas uma pergunta, estes SYN estão tentando conectar qual porta TCP ?



  5. Citação Postado originalmente por ferdam Ver Post
    Você está sofrendo um ataque de DoS (Denial of Service) através de Syn Flood.
    Todo inicio de conexão TCP usa o three-way handshake, SYN/SYN-ACK/ACK.
    Se o cliente envia vários SYN e não responde com o ACK final, seu servidor enfileira todas essas requisições até que não consiga mais responder a nenhuma outra requisição.

    O grande problema disso é descobrir e bloquear a fonte, pois normalmente o ataque é distribuido entre vários computadores. Porém, pelo que parece esse não é seu caso, você sabe de onde se origina o ataque.

    Há ainda a possibilidade de alterar parâmetros da pilha de TCP para diminuir os efeitos maléficos destes ataques, mas isso poderia comprometer a performance de seu sistema e de seus clientes que nada tem a ver com isso !

    Portanto, não vejo outra alternativa a não ser entrar em contato com o cliente causador do ataque e explicar o que está ocorrendo. Com certeza, ele é apenas um hospedeiro e nem sabe disso !

    Apenas uma pergunta, estes SYN estão tentando conectar qual porta TCP ?
    as mais variadas no source address (ip do cliente), no destination address 99% das portas são a porta 80.

    Agora, porque só eu tenho esses problemas e um monte de caras que têm até bem menos experiência que eu, mas têm redes com muitos clientes, não têm esses ataques todos?

    E como, por exemplo, uma Telemar da vida não passa o tempo todo fora do ar por causa disso? pq a quantidade de clientes infectados que eles têm deve ser gigantesca.






Tópicos Similares

  1. Continua o problema com rota
    Por redoctober no fórum Servidores de Rede
    Respostas: 13
    Último Post: 08-11-2002, 13:04
  2. Problema com os log do Apache
    Por Good_speed no fórum Servidores de Rede
    Respostas: 1
    Último Post: 28-10-2002, 08:51
  3. Problemas com Perl
    Por adcorp no fórum Servidores de Rede
    Respostas: 1
    Último Post: 17-08-2002, 11:52
  4. Problema com o ssh pelo windows !!!
    Por embbr no fórum Servidores de Rede
    Respostas: 1
    Último Post: 01-07-2002, 18:10
  5. problemas com o IMP
    Por marlonfuchs no fórum Servidores de Rede
    Respostas: 0
    Último Post: 27-06-2002, 08:13

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L