Possible SYN flooding on port

arial	# 13 лет, 2 месяца назад
Темы: 1 Сообщения: 6 Участник с: 14 февраля 2011	Привет! В dmesg постоянно сыплются сообщения такого плана: Mar 15 16:15:39 localhost kernel: net_ratelimit: 18 callbacks suppressed Mar 15 16:15:39 localhost kernel: TCP: Possible SYN flooding on port 60000. Sending cookies. Mar 15 16:15:39 localhost kernel: TCP: Possible SYN flooding on port 60000. Sending cookies. Mar 15 16:15:41 localhost kernel: TCP: Possible SYN flooding on port 60000. Sending cookies. Mar 15 16:15:41 localhost kernel: TCP: Possible SYN flooding on port 60000. Sending cookies. Mar 15 16:15:41 localhost kernel: TCP: Possible SYN flooding on port 60000. Sending cookies. Mar 15 16:15:43 localhost kernel: TCP: Possible SYN flooding on port 60000. Sending cookies. Mar 15 16:15:43 localhost kernel: TCP: Possible SYN flooding on port 60000. Sending cookies. Mar 15 16:15:43 localhost kernel: TCP: Possible SYN flooding on port 60000. Sending cookies. Mar 15 16:15:43 localhost kernel: TCP: Possible SYN flooding on port 60000. Sending cookies. Mar 15 16:15:43 localhost kernel: TCP: Possible SYN flooding on port 60000. Sending cookies. Mar 15 16:15:45 localhost kernel: net_ratelimit: 1 callbacks suppressed Mar 15 16:15:45 localhost kernel: TCP: Possible SYN flooding on port 60000. Sending cookies. Mar 15 16:15:45 localhost kernel: TCP: Possible SYN flooding on port 60000. Sending cookies. Mar 15 16:15:45 localhost kernel: TCP: Possible SYN flooding on port 60000. Sending cookies. Mar 15 16:15:45 localhost kernel: TCP: Possible SYN flooding on port 60000. Sending cookies. Mar 15 16:15:57 localhost kernel: TCP: Possible SYN flooding on port 60000. Sending cookies. Mar 15 16:16:02 localhost kernel: TCP: Possible SYN flooding on port 60000. Sending cookies. Mar 15 16:16:02 localhost kernel: TCP: Possible SYN flooding on port 60000. Sending cookies. На порту 60000 висит торрент-клиент. Как сделать так, чтобы ядро на этот порт не ругалось и не засоряло лог?

# 13 лет, 2 месяца назад

Сообщения: 6

Участник с: 14 февраля 2011

Привет!
В dmesg постоянно сыплются сообщения такого плана:

Mar 15 16:15:39 localhost kernel: net_ratelimit: 18 callbacks suppressed
Mar 15 16:15:39 localhost kernel: TCP: Possible SYN flooding on port 60000. Sending cookies.
Mar 15 16:15:39 localhost kernel: TCP: Possible SYN flooding on port 60000. Sending cookies.
Mar 15 16:15:41 localhost kernel: TCP: Possible SYN flooding on port 60000. Sending cookies.
Mar 15 16:15:41 localhost kernel: TCP: Possible SYN flooding on port 60000. Sending cookies.
Mar 15 16:15:41 localhost kernel: TCP: Possible SYN flooding on port 60000. Sending cookies.
Mar 15 16:15:43 localhost kernel: TCP: Possible SYN flooding on port 60000. Sending cookies.
Mar 15 16:15:43 localhost kernel: TCP: Possible SYN flooding on port 60000. Sending cookies.
Mar 15 16:15:43 localhost kernel: TCP: Possible SYN flooding on port 60000. Sending cookies.
Mar 15 16:15:43 localhost kernel: TCP: Possible SYN flooding on port 60000. Sending cookies.
Mar 15 16:15:43 localhost kernel: TCP: Possible SYN flooding on port 60000. Sending cookies.
Mar 15 16:15:45 localhost kernel: net_ratelimit: 1 callbacks suppressed
Mar 15 16:15:45 localhost kernel: TCP: Possible SYN flooding on port 60000. Sending cookies.
Mar 15 16:15:45 localhost kernel: TCP: Possible SYN flooding on port 60000. Sending cookies.
Mar 15 16:15:45 localhost kernel: TCP: Possible SYN flooding on port 60000. Sending cookies.
Mar 15 16:15:45 localhost kernel: TCP: Possible SYN flooding on port 60000. Sending cookies.
Mar 15 16:15:57 localhost kernel: TCP: Possible SYN flooding on port 60000. Sending cookies.
Mar 15 16:16:02 localhost kernel: TCP: Possible SYN flooding on port 60000. Sending cookies.
Mar 15 16:16:02 localhost kernel: TCP: Possible SYN flooding on port 60000. Sending cookies.

На порту 60000 висит торрент-клиент. Как сделать так, чтобы ядро на этот порт не ругалось и не засоряло лог?

amigo	# 13 лет, 2 месяца назад
Темы: 35 Сообщения: 2126 Участник с: 05 февраля 2007	SYN-флуд и т.д. по мотивам гугла. А так же в арче вики. Разберемся, голубчик!

gard	# 13 лет, 2 месяца назад
Темы: 66 Сообщения: 1169 Участник с: 15 декабря 2009	Это к вам торренты ломятся..

arial	# 13 лет, 2 месяца назад
Темы: 1 Сообщения: 6 Участник с: 14 февраля 2011	Я вчера весь день провёл за гугленьем словосочетаний SYN flooding. Так и не разобрался, что сделать, чтобы система на этот порт внимания не обращала. Наверное, только совсем SYN cookie отключить.

gard	# 13 лет, 2 месяца назад
Темы: 66 Сообщения: 1169 Участник с: 15 декабря 2009	А если явно разрешить в iptables syn соединения на этот порт? У меня это делано, но вот я не помню сыплются ли сообщения о флуде или нет..

arial	# 13 лет, 2 месяца назад
Темы: 1 Сообщения: 6 Участник с: 14 февраля 2011	Я писал такие правила в iptables: iptables -A OUTPUT -p tcp -m tcp –sport 60000 –tcp-flags SYN,ACK ACK -m limit –limit 400/sec –limit-burst 800 -j ACCEPT iptables -A OUTPUT -p tcp -m tcp –sport 60000 –tcp-flags SYN,ACK ACK -j DROP Но я во флагах путаюсь, да и вообще в iptables не силён. Может не правильно написал. Большое количество траффика под первое правило попадает, но от сообщений в логе это не спасает.

arial

# 13 лет, 2 месяца назад

Темы: 1

Сообщения: 6

Участник с: 14 февраля 2011

Я писал такие правила в iptables:

iptables -A OUTPUT -p tcp -m tcp –sport 60000 –tcp-flags SYN,ACK ACK -m limit –limit 400/sec –limit-burst 800 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp –sport 60000 –tcp-flags SYN,ACK ACK -j DROP

Но я во флагах путаюсь, да и вообще в iptables не силён. Может не правильно написал. Большое количество траффика под первое правило попадает, но от сообщений в логе это не спасает.

gard	# 13 лет, 2 месяца назад
Темы: 66 Сообщения: 1169 Участник с: 15 декабря 2009	У меня по моему тоже такие же сообщения все таки есть.. даже незнаю что посоветовать, то есть разрешить то мы разрешили, но система такую массированную атаку на порт расценивает с подозрением на флуд.. Тут надо разбираться или просто не обращать внимания, жить ведь не мешает =)

gard

# 13 лет, 2 месяца назад

Темы: 66

Сообщения: 1169

Участник с: 15 декабря 2009

У меня по моему тоже такие же сообщения все таки есть.. даже незнаю что посоветовать, то есть разрешить то мы разрешили, но система такую массированную атаку на порт расценивает с подозрением на флуд.. Тут надо разбираться или просто не обращать внимания, жить ведь не мешает =)

villi	# 13 лет, 2 месяца назад
Темы: 0 Сообщения: 144 Участник с: 07 декабря 2009	gard - ну от Вас-то я не ожидалъ… :) SYN-флаг генерируется при попытке соединения, но не при установленном (ESTABLISHED,RELATED) сеансе. В правилах апстола для торрента нуна ограничить количество соединений, но не пакетов, так что - пользуйтесь connlimit Типа чё-то: /sbin/iptables --table filter --append OUTPUT --out-interface ${ExternalIFACE} --protocol tcp --syn --dport 6000 --match conntrack --ctstate NEW --match connlimit ! --connlimit-above 16 --jump ACCEPT

villi

# 13 лет, 2 месяца назад

Темы: 0

Сообщения: 144

Участник с: 07 декабря 2009

gard - ну от Вас-то я не ожидалъ… :)
SYN-флаг генерируется при попытке соединения, но не при установленном (ESTABLISHED,RELATED) сеансе.
В правилах апстола для торрента нуна ограничить количество соединений, но не пакетов, так что - пользуйтесь
connlimit
Типа чё-то:

 /sbin/iptables --table filter --append OUTPUT --out-interface ${ExternalIFACE} --protocol tcp --syn --dport 6000 --match conntrack --ctstate NEW --match connlimit ! --connlimit-above 16 --jump ACCEPT

arial	# 13 лет, 2 месяца назад
Темы: 1 Сообщения: 6 Участник с: 14 февраля 2011	Нет, не помогло. Вот что у меня в iptables сейчас (iptables -L -v): Chain INPUT (policy ACCEPT 4150 packets, 369K bytes) pkts bytes target prot opt in out source destination Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 5663 packets, 1871K bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT tcp – any eth0 anywhere anywhere tcp dpt:60000 flags:FIN,SYN,RST,ACK/SYN ctstate NEW #conn/32 <= 16 Пробовал увеличить connlimit-above до 200 (у меня 200 соединений в торрент-клиенте), всё-равно в логи предупреждения падают.

arial

# 13 лет, 2 месяца назад

Темы: 1

Сообщения: 6

Участник с: 14 февраля 2011

Нет, не помогло.
Вот что у меня в iptables сейчас (iptables -L -v):

Chain INPUT (policy ACCEPT 4150 packets, 369K bytes)
pkts bytes target prot opt in out source destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 5663 packets, 1871K bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp – any eth0 anywhere anywhere tcp dpt:60000 flags:FIN,SYN,RST,ACK/SYN ctstate NEW #conn/32 <= 16

Пробовал увеличить connlimit-above до 200 (у меня 200 соединений в торрент-клиенте), всё-равно в логи предупреждения падают.