[ kunc @ 12.12.2016. 21:03 ] @
Log kaze ovako: TCP: request_sock_TCP: Possible SYN flooding on port 80. Sending cookies. Check SNMP counters.

Code:

Dec 12 21:54:00 zdici kernel: [ 7755.230085] iptables denied: IN=eth0 OUT= MAC=8e:9b:65:4e:60:9c:40:a6:77:34:67:f0:08:00 SRC=104.199.33.124 DST=139.59.154.81 LEN=912 TOS=0x00 PREC=0x00 TTL=48 ID=18552 PROTO=UDP SPT=500 DPT=500 LEN=892 
Dec 12 21:54:09 zdici kernel: [ 7764.230297] iptables denied: IN=eth0 OUT= MAC=8e:9b:65:4e:60:9c:40:a6:77:34:67:f0:08:00 SRC=104.199.33.124 DST=139.59.154.81 LEN=912 TOS=0x00 PREC=0x00 TTL=48 ID=22313 PROTO=UDP SPT=500 DPT=500 LEN=892 


nije mi jasno ovo iptables denied:

iptables -S izgleda ovako

Code:

-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N syn_flood
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j syn_flood
-A FORWARD -j DROP
-A OUTPUT -j ACCEPT
-A syn_flood -m limit --limit 1/sec --limit-burst 3 -j RETURN
-A syn_flood -j DROP



IP je blokirana preko itables-a, medjutim...ne znam sta se desava. Portal ne radi 3 dana zbog SNY flood-a.

Molim za neku pomoć, savjet, sta-kako i slično. Hvala unaprijed ekipa

[ Aleksandar Đokić @ 13.12.2016. 20:01 ] @
Prvo da vidis sa kojeg opsega dolazi i blokiras to sve.
[ kunc @ 13.12.2016. 20:19 ] @
Jedino sto me spasava je ovaj CDN Attack mod. Inace ne bi nikad niko mogo pristupit portalu.

Koliko god blokiram IP, opet dolaze novi SNY flood.
Code:

[11447.368049] iptables denied: IN=eth0 OUT= MAC=8e:9b:65:4e:60:9c:40:a6:77:4f:3f:f0:08:00 SRC=86.125.107.175 DST=139.59.154.81 LEN=44 TOS=0x00 PREC=0x00 TTL=54 ID=11222 PROTO=TCP SPT=2013 DPT=23 WINDOW=5581 RES=0x00 SYN URGP=0
[11633.163803] iptables denied: IN=eth0 OUT= MAC=8e:9b:65:4e:60:9c:40:a6:77:34:67:f0:08:00 SRC=78.188.150.29 DST=139.59.154.81 LEN=44 TOS=0x00 PREC=0x00 TTL=245 ID=65497 PROTO=TCP SPT=4527 DPT=23 WINDOW=14600 RES=0x00 SYN URGP=0
[11687.362063] iptables denied: IN=eth0 OUT= MAC=8e:9b:65:4e:60:9c:40:a6:77:4f:3f:f0:08:00 SRC=69.12.77.195 DST=139.59.154.81 LEN=76 TOS=0x00 PREC=0x00 TTL=55 ID=50804 DF PROTO=UDP SPT=55019 DPT=623 LEN=56
[11786.180891] iptables denied: IN=eth0 OUT= MAC=8e:9b:65:4e:60:9c:40:a6:77:4f:3f:f0:08:00 SRC=113.182.149.180 DST=139.59.154.81 LEN=44 TOS=0x00 PREC=0x00 TTL=53 ID=35249 PROTO=TCP SPT=5478 DPT=23 WINDOW=53919 RES=0x00 SYN URGP=0
[12111.708949] iptables denied: IN=eth0 OUT= MAC=8e:9b:65:4e:60:9c:40:a6:77:34:67:f0:08:00 SRC=123.26.132.61 DST=139.59.154.81 LEN=44 TOS=0x00 PREC=0x00 TTL=243 ID=30879 PROTO=TCP SPT=18620 DPT=23 WINDOW=14600 RES=0x00 SYN URGP=0
[12223.611130] iptables denied: IN=eth0 OUT= MAC=8e:9b:65:4e:60:9c:40:a6:77:34:67:f0:08:00 SRC=77.178.183.164 DST=139.59.154.81 LEN=44 TOS=0x00 PREC=0x00 TTL=58 ID=43933 PROTO=TCP SPT=2440 DPT=23231 WINDOW=9376 RES=0x00 SYN URGP=0
[12260.112524] iptables denied: IN=eth0 OUT= MAC=8e:9b:65:4e:60:9c:40:a6:77:4f:3f:f0:08:00 SRC=86.34.9.62 DST=139.59.154.81 LEN=44 TOS=0x00 PREC=0x00 TTL=247 ID=64123 PROTO=TCP SPT=48561 DPT=23 WINDOW=14600 RES=0x00 SYN URGP=0
[12392.846578] iptables denied: IN=eth0 OUT= MAC=8e:9b:65:4e:60:9c:40:a6:77:34:67:f0:08:00 SRC=14.181.208.108 DST=139.59.154.81 LEN=44 TOS=0x00 PREC=0x00 TTL=54 ID=28592 PROTO=TCP SPT=1955 DPT=23 WINDOW=42584 RES=0x00 SYN URGP=0
[12427.034285] iptables denied: IN=eth0 OUT= MAC=8e:9b:65:4e:60:9c:40:a6:77:34:67:f0:08:00 SRC=201.191.57.161 DST=139.59.154.81 LEN=44 TOS=0x00 PREC=0x00 TTL=52 ID=43615 PROTO=TCP SPT=13973 DPT=23 WINDOW=62797 RES=0x00 SYN URGP=0
[12457.086355] iptables denied: IN=eth0 OUT= MAC=8e:9b:65:4e:60:9c:40:a6:77:34:67:f0:08:00 SRC=14.181.208.108 DST=139.59.154.81 LEN=44 TOS=0x00 PREC=0x00 TTL=54 ID=28592 PROTO=TCP SPT=1955 DPT=23 WINDOW=42584 RES=0x00 SYN URGP=0
[12465.605031] iptables denied: IN=eth0 OUT= MAC=8e:9b:65:4e:60:9c:40:a6:77:34:67:f0:08:00 SRC=14.181.208.108 DST=139.59.154.81 LEN=44 TOS=0x00 PREC=0x00 TTL=54 ID=28592 PROTO=TCP SPT=1955 DPT=23 WINDOW=42584 RES=0x00 SYN URGP=0
[12554.820875] iptables denied: IN=eth0 OUT= MAC=8e:9b:65:4e:60:9c:40:a6:77:34:67:f0:08:00 SRC=14.181.208.108 DST=139.59.154.81 LEN=44 TOS=0x00 PREC=0x00 TTL=54 ID=28592 PROTO=TCP SPT=1955 DPT=23 WINDOW=42584 RES=0x00 SYN URGP=0
[12568.620998] iptables denied: IN=eth0 OUT= MAC=8e:9b:65:4e:60:9c:40:a6:77:4f:3f:f0:08:00 SRC=200.93.71.153 DST=139.59.154.81 LEN=60 TOS=0x00 PREC=0x00 TTL=54 ID=17669 DF PROTO=TCP SPT=36416 DPT=23 WINDOW=4380 RES=0x00 SYN URGP=0
[13082.956251] iptables denied: IN=eth0 OUT= MAC=8e:9b:65:4e:60:9c:40:a6:77:4f:3f:f0:08:00 SRC=14.167.212.181 DST=139.59.154.81 LEN=44 TOS=0x00 PREC=0x00 TTL=243 ID=40555 PROTO=TCP SPT=59802 DPT=23 WINDOW=14600 RES=0x00 SYN URGP=0
[13307.294479] iptables denied: IN=eth0 OUT= MAC=8e:9b:65:4e:60:9c:40:a6:77:34:67:f0:08:00 SRC=171.232.94.202 DST=139.59.154.81 LEN=44 TOS=0x00 PREC=0x00 TTL=51 ID=29703 PROTO=TCP SPT=65509 DPT=2323 WINDOW=34973 RES=0x00 SYN URGP=0
[13314.192899] iptables denied: IN=eth0 OUT= MAC=8e:9b:65:4e:60:9c:40:a6:77:34:67:f0:08:00 SRC=182.45.101.176 DST=139.59.154.81 LEN=44 TOS=0x00 PREC=0x00 TTL=241 ID=38127 PROTO=TCP SPT=20217 DPT=23 WINDOW=5840 RES=0x00 SYN URGP=0
[13383.405364] iptables denied: IN=eth0 OUT= MAC=8e:9b:65:4e:60:9c:40:a6:77:34:67:f0:08:00 SRC=24.51.210.1 DST=139.59.154.81 LEN=44 TOS=0x00 PREC=0x00 TTL=51 ID=40753 PROTO=TCP SPT=43722 DPT=23 WINDOW=339 RES=0x00 SYN URGP=0
[13479.820938] iptables denied: IN=eth0 OUT= MAC=8e:9b:65:4e:60:9c:40:a6:77:4f:3f:f0:08:00 SRC=80.194.230.200 DST=139.59.154.81 LEN=44 TOS=0x00 PREC=0x00 TTL=237 ID=29977 PROTO=TCP SPT=46153 DPT=23 WINDOW=5840 RES=0x00 SYN URGP=0
[13558.084353] iptables denied: IN=eth0 OUT= MAC=8e:9b:65:4e:60:9c:40:a6:77:4f:3f:f0:08:00 SRC=89.248.174.51 DST=139.59.154.81 LEN=48 TOS=0x00 PREC=0x00 TTL=122 ID=54893 PROTO=TCP SPT=44998 DPT=4899 WINDOW=65535 RES=0x00 SYN URGP=0
[13606.292404] iptables denied: IN=eth0 OUT= MAC=8e:9b:65:4e:60:9c:40:a6:77:4f:3f:f0:08:00 SRC=50.96.249.95 DST=139.59.154.81 LEN=44 TOS=0x00 PREC=0x00 TTL=49 ID=214 PROTO=TCP SPT=9322 DPT=2323 WINDOW=24835 RES=0x00 SYN URGP=0
[13824.804204] iptables denied: IN=eth0 OUT= MAC=8e:9b:65:4e:60:9c:40:a6:77:4f:3f:f0:08:00 SRC=111.91.161.203 DST=139.59.154.81 LEN=122 TOS=0x00 PREC=0x00 TTL=55 ID=0 DF PROTO=UDP SPT=44864 DPT=1900 LEN=102
[ Miroslav Strugarevic @ 14.12.2016. 08:44 ] @
Pozdrav,

Blokiranjem neces uspeti da sredis nista posto se napad uglavnom desava sa vise (fejkovanih) source IP addresa. Poenta ovog napada je da se SYN backlog na destination serveru kompletno popuni, sto onemogucava validne korisnike da uspostave TCP 3-way sesiju i da pristupe tvom sajtu.

Moj savet je da pogledas online sta je SYN flood attack (half open attack), kako da se umanji (modifikacijom TCP/IP kernel parametera, ili koriscenjem SYN cookies-a), i koji dodatni servisi (kao sto su Cloudflare) mogu da pomognu.

https://en.wikipedia.org/wiki/SYN_flood
https://en.wikipedia.org/wiki/SYN_cookies
http://www.cisco.com/c/en/us/a...s-34/syn-flooding-attacks.html

Srecno!



[ kunc @ 14.12.2016. 10:26 ] @
@Miroslav hvala na odgovoru.

Mislim da je uspjelo modifikacijom TCP/IP kernel parametera. Iako još uvijek log pokazuje SYN flood ali server je ok.
Korisim CloudFlare vec, samo na free planu.