Forums Neueste Beiträge
 

Re: (D)DOS Attacken

02/11/2008 - 22:19 von Alexander Griesser | Report spam
Also schön langsam is des nimma lustig.

Heute, erneut, ein Angriff. Wiedermal wurde alles elends langsam und
folgendes fand ich nachher in den Logs:

Speziell spannend ist ja dieser Eintrag hier:

nf_conntrack: table full, dropping packet.

Irgendwie logisch, wenn die table full ist, dann drop ma des halt
einfach was da zwegen kommt.
Meine tables sind übrigens auf Größe 65536 gestellt:

stronghold:/proc/sys/net/ipv4/netfilter# cat ip_conntrack_max
65536
stronghold:/proc/sys/net/ipv4/netfilter#

laut kernel source handelt es sich hierbei um einen 32bit signed int,
ich könnte also noch etwas in die Höhe gehen, allerdings dann auf Kosten
des Arbeitsspeichers.
Laut Internet braucht ein Eintrag etwa 300Bytes, macht also knapp 20MB
für die table wenn sie voll ist bei dieser Größenordnung.

Habe sie inzwischen verdoppelt (man weiß ja nie, wozu's gut ist),
allerdings hàtte ich dann doch gerne mal eure Meinung dazu gewusst.




Nov 2 15:03:48 stronghold kernel: possible SYN flooding on port 80.
Sending cookies.
Nov 2 15:04:48 stronghold kernel: possible SYN flooding on port 80.
Sending cookies.
Nov 2 15:05:48 stronghold kernel: possible SYN flooding on port 80.
Sending cookies.
Nov 2 15:06:48 stronghold kernel: possible SYN flooding on port 80.
Sending cookies.
Nov 2 15:07:48 stronghold kernel: possible SYN flooding on port 80.
Sending cookies.
Nov 2 15:08:49 stronghold kernel: possible SYN flooding on port 80.
Sending cookies.
Nov 2 15:09:49 stronghold kernel: possible SYN flooding on port 80.
Sending cookies.
Nov 2 15:10:49 stronghold kernel: possible SYN flooding on port 80.
Sending cookies.
Nov 2 15:11:49 stronghold kernel: possible SYN flooding on port 80.
Sending cookies.
Nov 2 15:12:49 stronghold kernel: possible SYN flooding on port 80.
Sending cookies.
Nov 2 15:13:49 stronghold kernel: possible SYN flooding on port 80.
Sending cookies.
Nov 2 15:14:49 stronghold kernel: possible SYN flooding on port 80.
Sending cookies.
Nov 2 15:15:49 stronghold kernel: possible SYN flooding on port 80.
Sending cookies.
Nov 2 15:16:49 stronghold kernel: possible SYN flooding on port 80.
Sending cookies.
Nov 2 15:17:49 stronghold kernel: possible SYN flooding on port 80.
Sending cookies.
Nov 2 15:18:49 stronghold kernel: possible SYN flooding on port 80.
Sending cookies.
Nov 2 15:19:49 stronghold kernel: possible SYN flooding on port 80.
Sending cookies.
Nov 2 15:20:49 stronghold kernel: possible SYN flooding on port 80.
Sending cookies.
Nov 2 15:21:49 stronghold kernel: possible SYN flooding on port 80.
Sending cookies.
Nov 2 15:22:49 stronghold kernel: possible SYN flooding on port 80.
Sending cookies.
Nov 2 15:23:49 stronghold kernel: possible SYN flooding on port 80.
Sending cookies.
Nov 2 15:24:49 stronghold kernel: possible SYN flooding on port 80.
Sending cookies.
Nov 2 15:25:49 stronghold kernel: possible SYN flooding on port 80.
Sending cookies.
Nov 2 15:26:49 stronghold kernel: possible SYN flooding on port 80.
Sending cookies.
Nov 2 15:27:50 stronghold kernel: possible SYN flooding on port 80.
Sending cookies.
Nov 2 15:28:50 stronghold kernel: possible SYN flooding on port 80.
Sending cookies.
Nov 2 15:29:50 stronghold kernel: possible SYN flooding on port 80.
Sending cookies.
Nov 2 15:30:51 stronghold kernel: possible SYN flooding on port 80.
Sending cookies.
Nov 2 15:31:52 stronghold kernel: possible SYN flooding on port 80.
Sending cookies.
Nov 2 15:32:52 stronghold kernel: possible SYN flooding on port 80.
Sending cookies.
Nov 2 15:33:52 stronghold kernel: possible SYN flooding on port 80.
Sending cookies.
Nov 2 15:34:52 stronghold kernel: possible SYN flooding on port 80.
Sending cookies.
Nov 2 15:35:52 stronghold kernel: possible SYN flooding on port 80.
Sending cookies.
Nov 2 15:36:52 stronghold kernel: possible SYN flooding on port 80.
Sending cookies.
Nov 2 15:37:52 stronghold kernel: possible SYN flooding on port 80.
Sending cookies.
Nov 2 15:38:52 stronghold kernel: possible SYN flooding on port 80.
Sending cookies.
Nov 2 15:39:53 stronghold kernel: possible SYN flooding on port 80.
Sending cookies.
Nov 2 15:40:53 stronghold kernel: possible SYN flooding on port 80.
Sending cookies.
Nov 2 15:41:53 stronghold kernel: possible SYN flooding on port 80.
Sending cookies.
Nov 2 15:42:53 stronghold kernel: possible SYN flooding on port 80.
Sending cookies.
Nov 2 15:43:53 stronghold kernel: possible SYN flooding on port 80.
Sending cookies.
Nov 2 15:44:53 stronghold kernel: possible SYN flooding on port 80.
Sending cookies.
Nov 2 15:45:54 stronghold kernel: possible SYN flooding on port 80.
Sending cookies.
Nov 2 15:46:22 stronghold kernel: nf_conntrack: table full, dropping
packet.
Nov 2 15:46:54 stronghold kernel: possible SYN flooding on port 80.
Sending cookies.
Nov 2 15:47:05 stronghold kernel: nf_conntrack: table full, dropping
packet.
Nov 2 15:47:49 stronghold kernel: __ratelimit: 62 callbacks suppressed
Nov 2 15:47:49 stronghold kernel: nf_conntrack: table full, dropping
packet.
Nov 2 15:47:54 stronghold kernel: possible SYN flooding on port 80.
Sending cookies.
Nov 2 15:48:02 stronghold kernel: __ratelimit: 246 callbacks suppressed
Nov 2 15:48:02 stronghold kernel: nf_conntrack: table full, dropping
packet.
Nov 2 15:48:55 stronghold kernel: possible SYN flooding on port 80.
Sending cookies.
Nov 2 15:49:11 stronghold kernel: __ratelimit: 213 callbacks suppressed
Nov 2 15:49:11 stronghold kernel: nf_conntrack: table full, dropping
packet.
Nov 2 15:49:17 stronghold kernel: php-cgi[24038]: segfault at b6cb0e60
ip b6cb0e60 sp b6bf93ac error 4 in librt-2.7.so[b7722000+7000]
Nov 2 15:49:44 stronghold kernel: php-cgi[24247]: segfault at b6dcde60
ip b6dcde60 sp b6d163ac error 4 in librt-2.7.so[b783f000+7000]
Nov 2 15:49:55 stronghold kernel: possible SYN flooding on port 80.
Sending cookies.
Nov 2 15:49:57 stronghold kernel: php-cgi[24358]: segfault at b6c29e60
ip b6c29e60 sp b6b723ac error 4 in librt-2.7.so[b769b000+7000]
Nov 2 15:50:55 stronghold kernel: possible SYN flooding on port 80.
Sending cookies.
Nov 2 15:51:54 stronghold kernel: php-cgi[25307]: segfault at b6c19e60
ip b6c19e60 sp b6b623ac error 4 in librt-2.7.so[b768b000+7000]
Nov 2 15:51:55 stronghold kernel: possible SYN flooding on port 80.
Sending cookies.
Nov 2 15:52:55 stronghold kernel: possible SYN flooding on port 80.
Sending cookies.
Nov 2 15:53:55 stronghold kernel: possible SYN flooding on port 80.
Sending cookies.
Nov 2 15:54:55 stronghold kernel: possible SYN flooding on port 80.
Sending cookies.
Nov 2 15:55:55 stronghold kernel: possible SYN flooding on port 80.
Sending cookies.
Nov 2 15:56:55 stronghold kernel: possible SYN flooding on port 80.
Sending cookies.
Nov 2 15:57:55 stronghold kernel: possible SYN flooding on port 80.
Sending cookies.
Nov 2 15:58:55 stronghold kernel: possible SYN flooding on port 80.
Sending cookies.
Nov 2 15:59:56 stronghold kernel: possible SYN flooding on port 80.
Sending cookies.
Nov 2 16:00:56 stronghold kernel: possible SYN flooding on port 80.
Sending cookies.
Nov 2 16:01:56 stronghold kernel: possible SYN flooding on port 80.
Sending cookies.
 

Lesen sie die antworten

#1 Michael Wulz
03/11/2008 - 16:14 | Warnen spam
On Sun, 02 Nov 2008 22:19:01 +0100, Alexander Griesser wrote:

Also schön langsam is des nimma lustig.


Ich verstehe dich, mir gehts nicht anders ;-( (D)DOS Attacken gehören
mittlerweile (fast) zum Tagesgeschehen.

Heute, erneut, ein Angriff. Wiedermal wurde alles elends langsam und
folgendes fand ich nachher in den Logs:

Speziell spannend ist ja dieser Eintrag hier:

nf_conntrack: table full, dropping packet.

Irgendwie logisch, wenn die table full ist, dann drop ma des halt
einfach was da zwegen kommt.
Meine tables sind übrigens auf Größe 65536 gestellt:

stronghold:/proc/sys/net/ipv4/netfilter# cat ip_conntrack_max 65536
stronghold:/proc/sys/net/ipv4/netfilter#

laut kernel source handelt es sich hierbei um einen 32bit signed int,
ich könnte also noch etwas in die Höhe gehen, allerdings dann auf Kosten
des Arbeitsspeichers.
Laut Internet braucht ein Eintrag etwa 300Bytes, macht also knapp 20MB
für die table wenn sie voll ist bei dieser Größenordnung.



Diese Table ist ja nur 1x Vorhanden, somit werden 20MB einmal im RAM
verbraucht.

Habe sie inzwischen verdoppelt (man weiß ja nie, wozu's gut ist),
allerdings hàtte ich dann doch gerne mal eure Meinung dazu gewusst.



Wenn du diesen nun verdoppelst, werden 40MB verbraucht. Ich denke auf
einem möglichst zeitgemàssem Server sollten 40MB kein Problem darstellen?

Was mich interessieren würde, wie machen das Provider wie zum Beispiel
1&1 oder àhnl..., die müssen ja tàglich unzàhlige (D)DOS Attacken
bekommen. Anscheinend haben die spezielle "Filter" die dies schon vorab
checken.




Habe deine Log-Postings entfernt!




gruss
Michael

Ähnliche fragen