1. Inicio
  2. Pregunta y respuesta
  3. Cómo detener SYN_SENT?

Cómo detener SYN_SENT?

2012-07-30 148 views
8

Al ejecutar netstat se muestran cientos de esta línea, incluso después de reiniciar el servidor: comienza a enviarse nuevamente, lo que causa muchas conexiones a esa IP.Cómo detener SYN_SENT?

tcp  0  1 server1700.skdedicate:36283 154.45.206.59:https SYN_SENT 
tcp  0  1 server1700.skdedicate:36283 154.45.206.59:https SYN_SENT 
tcp  0  1 server1700.skdedicate:36283 154.45.206.59:https SYN_SENT 
tcp  0  1 server1700.skdedicate:36283 154.45.206.59:https SYN_SENT 
tcp  0  1 server1700.skdedicate:36283 154.45.206.59:https SYN_SENT

He detenido todas las secuencias de comandos, pero todavía sigue intentándolo.

Sé que esto significa que el IP no responde al SYN_SENT, pero ¿cómo puedo detener esos SYN_SENT? ¿O cuál es la mejor solución para esto?

Gracias.

Fuente

2012-07-30 EGN

+1

Ejecutar '-pnt' netstat para obtener el nombre del proceso que posee los enchufes. –

+0

@AlanCurry: tcp 0 1 213.163.64.207:39316 154.45.206.59:443 SYN_ SENT 12388/httpd. está abierto por httpd pero veo el puerto 443 allí, ¿no es raro? – EGN

+0

Entonces será mejor que mire su servidor web y vea qué podría causarle una conexión HTTPS saliente. Por cierto, cuando intento una solicitud https a esa dirección IP, recibo una redirección a rapidshare.com, por lo que puede ser una pista sobre qué buscar –

Respuesta

31

Esta pregunta parece estar recibiendo muchos puntos de vista pero todavía no hay respuesta, por lo que decidí responder mi propia pregunta a cualquiera que busque una solución.

Lo primero es lo primero, saber que el motivo es la mitad de la solución. Estaba bajo lo que se llama SYN Flooding Attack que usa el comportamiento del protocolo HTTP contra sí mismo

En pocas palabras, el cliente remoto intenta establecer una conexión con su servidor enviando SYN, su servidor responde con SYN_ACK (en sus registros usted verá SYN_SENT) y esperará hasta que reciba ACK. Si ACK no se recibe dentro de xx segundos, su servidor enviará SYN_ACK de nuevo, .... y nuevamente .... y nuevamente. Eventualmente alcanzará el umbral configurado y dejará de aceptar más solicitudes SYN haciendo que su servidor no responda. Uno de los síntomas que me sucedió fue que mi sitio web respondía una vez, como si nada estuviera mal pero no respondiera en los próximos xx veces.

HTTP Protocol SYN

La solución que funcionó para mí fue habilitar las cookies SYN, SSH en el servidor, abra el siguiente archivo con su editor favorito. Estoy usando vi en este ejemplo

vi /etc/sysctl.conf

Y agregue estas líneas al archivo, luego reinicie su servidor. Esperamos que esto detener el ataque como lo hizo para mí

net.ipv4.tcp_syncookies = 1 
net.ipv4.tcp_max_syn_backlog = 2048 
net.ipv4.tcp_synack_retries = 3

que estaba usando CentOS, creo que la solución anterior funcionará en todas las distribuciones, pero en caso de que no lo busco "Cómo dejar de ataque SYN flooding" para su distribución Linux

en una nota, el bloqueo de las IPs que inician las solicitudes SYN probablemente no servirá porque lo más probable que el atacante ha falsificado las IPs

Fuente

2014-06-11 20:14:14 EGN

+0

Cuando se da cuenta de que su solución fue vista por> 17,000 usuarios, pero solo recibió 12 votos al alza :( – EGN

+4

aquí, tome la mía :) – javabot

Cuestiones relacionadas

 Cuestiones relacionadas