DRDOSへのメモ [攻撃]
DRDOSに対するメモ
Webサーバにiptablesで1分間に10パケット=6秒間に1パケットのペースでSYN/ACKパケットをチェック。
SYN/ACKパケットが5個連続で来たらチェックする。
iptables -A INPUT -p tcp --source-port 80 --tcp-flags ALL SYN,ACK -m limit --limit 10/m --limit-burst 5 -j ACCEPT
続いて、ログを取る。
iptables -A INPUT -p tcp --source-port 80 --tcp-flags ALL SYN,ACK -j LOG --log-level 7 --log-prefix "IPT:"
続いて、破棄する。
iptables -A INPUT -p tcp --source-port 80 --tcp-flags ALL SYN,ACK -j DROP
/etc/syslog.confに以下を追加。
kern.debug /var/log/jem.log
これで、iptablesで引っ掛かったパケットのログを取得。
でも生ログじゃない。
これは、SYN/ACKだけしか見てないけど、通常の通信でサーバが
SYN/ACKを受け取ることはあるのかな?
このWebサーバがクライアントとしてSYN/ACKを受け取るなら遮断してしまうので、
要検討です。
コメント 0