DDoS útok TCP SYN 80

DDoS útok TCP SYN 80
« kdy: 10. 12. 2024, 20:48:03 »
Dnes z subnetu 1/8 a 100/4 je poněkud rušno. Tcp Syn , který se po Syn+ack serverem nijak nevyvíjí. (technicky to nic škodlivého není, jenom furt někdo otvírá spojení do zblbnutí)

 conntrack -L   |grep  SYN_REC | grep rt=80\ |wc
conntrack v1.4.6 (conntrack-tools): 117 flow entries have been shown.


Tak jsem to takhle zalepil.
Chain INPUT
26327 1053K REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80 match-set p80block src reject-with wtf-prohni'tě

(a na zkoušku si mohu hrát s  iptables   -D  INPUT 1 + +# iptables   -I  INPUT -p tcp --dport 80 -j ACCEPT abych viděl že se nic nezmění conntrack -L   |grep  SYN_REC|grep "dport=80" |wc =      15     210    2182 a roste dál)
)



# tcpdump -nti eth0   dst  port  443
nic

# tcpdump -nti eth0   dst  port 80 ( koment  ;): pro přehlednost  je druhý směr ve výpisu odděleně níž, ale i tak chybí ack a data)
Kód: [Vybrat]
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), snapshot length 262144 bytes
IP 112.6.174.224.49612 > x.80: Flags [S], seq 0, win 53270, length 0
IP 111.173.114.63.49612 >x.80: Flags [S], seq 0, win 53270, length 0
IP 112.7.225.88.49612 > x.80: Flags [S], seq 0, win 53270, length 0
IP 111.180.196.108.49612 > x.80: Flags [S], seq 0, win 53270, length 0
IP 113.56.214.3.49612 > x.80: Flags [S], seq 0, win 53270, length 0


Kód: [Vybrat]
IP x.80> 111.173.119.165.59182: Flags [S.], seq 240209408, ack 1, win 64240, options [mss 1460], length 0
IP x.80 > 103.91.209.215.17663: Flags [S.], seq 4163049757, ack 1, win 64240, options [mss 1460], length 0
IP x.80 > 111.173.119.165.59182: Flags [S.], seq 240209408, ack 1, win 64240, options [mss 1460], length 0
IP x.80> 103.91.209.215.17663: Flags [S.], seq 4163049757, ack 1, win 64240, options [mss 1460], length 0
IP x.80> 115.28.249.32.59182: Flags [S.], seq 3530163295, ack 1, win 64240, options [mss 1460], length 0
IP x.80> 103.91.209.182.46302: Flags [S.], seq 3800225531, ack 1, win 64240, options [mss 1460], length 0
IP x,80> 111.173.114.61.40897: Flags [S.], seq 1055995499, ack 1, win 64240, options [mss 1460], length 0
IP x.80> 115.28.249.32.59182: Flags [S.], seq 3530163295, ack 1, win 64240, options [mss 1460], length 0
IP x.80> 103.91.209.182.46302: Flags [S.], seq 3800225531, ack 1, win 64240, options [mss 1460], length 0
IP x.80> 111.173.114.61.40897: Flags [S.], seq 1055995499, ack 1, win 64240, options [mss 1460], length 0
IP x.80> 111.173.119.165.59182: Flags [S.], seq 240209408, ack 1, win 64240, options [mss 1460], length 0
IP x.80> 103.91.209.215.17663: Flags [S.], seq 4163049757, ack 1, win 64240, options [mss 1460], length 0
IP x.80> 113.56.214.3.40897: Flags [S.], seq 3700852961, ack 1, win 64240, options [mss 1460], length 0


Type: hash:net
106.0.0.0/8 packets 2022 bytes 80880
108.160.0.0/11 packets 28 bytes 1120
101.0.0.0/8 packets 3435 bytes 137400
110.0.0.0/8 packets 1178 bytes 47120
1.0.0.0/8 packets 3330 bytes 133200
112.0.0.0/6 packets 10318 bytes 412720
103.0.0.0/8 packets 3273 bytes 130920
109.192.0.0/10 packets 21 bytes 840
116.0.0.0/8 packets 2540 bytes 101600
104.0.0.0/8 packets 60 bytes 2400
« Poslední změna: 10. 12. 2024, 20:53:52 od Ħαℓ₸℮ℵ ␏⫢ ⦚ »


znamená něco stejný src port od klienta
« Odpověď #1 kdy: 10. 12. 2024, 21:02:12 »
A všimli jste si stejného src portu 49612 přestože vychází z jiných IP ?? Není už tohle divné?


tcpdump -nti eth0   src   port  80 -c 72 |grep -Pio '\.\d+: Flags' |sort |uniq -c
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), snapshot length 262144 bytes
72 packets captured
74 packets received by filter
0 packets dropped by kernel
Kód: [Vybrat]
      1 .13195: Flags
     11 .144: Flags
      3 .17573: Flags
      1 .20382: Flags
      7 .2529: Flags
      5 .27174: Flags
      6 .31918: Flags
      8 .38315: Flags
      7 .45546: Flags
      5 .46105: Flags
      8 .47667: Flags
      1 .55202: Flags
      4 .56865: Flags
      3 .5856: Flags
      1 .61528: Flags
      1 .6180: Flags
(statistika portů)

Re:DDoS útok TCP SYN 80
« Odpověď #2 kdy: 11. 12. 2024, 09:48:45 »
https://www.cyberciti.biz/faq/iptables-connection-limits-howto/

nebo... i kdyz to bude az po syn+ack stejne jako mod_tsunami kdyz to potrebuje virtualhost jmeno
https://mod-qos.sourceforge.net/
LoadModule qos_module path_to_module/mod_qos.so
<IfModule mod_qos.c>
        # max connection per IP is
        QS_SrvMaxConnPerIP 15
</IfModule>

<VirtualHost *:80>
...
</VirtualHost>
« Poslední změna: 11. 12. 2024, 09:55:01 od ssdcorrupt »

alex6bbc

  • *****
  • 1 689
    • Zobrazit profil
    • E-mail
Re:DDoS útok TCP SYN 80
« Odpověď #3 kdy: 11. 12. 2024, 12:10:31 »
o ddos moc nevim, i kdyz komp bude zahazovat snahy o pripojeni, kolik toho stihne zahazovat, aby mohl jeste jine zpracovat?

Wasper

  • ***
  • 124
    • Zobrazit profil
    • E-mail
Re:DDoS útok TCP SYN 80
« Odpověď #4 kdy: 11. 12. 2024, 14:33:06 »
Dnes z subnetu 1/8 a 100/4 je poněkud rušno. Tcp Syn , který se po Syn+ack serverem nijak nevyvíjí. (technicky to nic škodlivého není, jenom furt někdo otvírá spojení do zblbnutí)
Bych zkontroloval tcp_syncookie (cat /proc/sys/net/ipv4/tcp_syncookies) a dal neresil...
Jestli toho bude moc, ze to zahlti linku, tak to stejne nikdo krome anti-DDoS u providera nevyresi, jinak skoda casu.


jjrsk

  • *****
  • 593
    • Zobrazit profil
Re:DDoS útok TCP SYN 80
« Odpověď #5 kdy: 12. 12. 2024, 16:46:40 »
o ddos moc nevim, i kdyz komp bude zahazovat snahy o pripojeni, kolik toho stihne zahazovat, aby mohl jeste jine zpracovat?
(d)dos ti vycerpa hw nebo konektivitu a na cilovym stroji s tim nic moc neudelas. A dokud nemas problem (s tim hw nebo koenktivitou) nema to smysl resit, protoze to neni dos. Spis jde o setrvale pokusy najit kde nechal tesar diru.