Re: Mal ein paar LOG-Sachen: SYN-Flood und Kernel-Murks

[SPATZ1 t-online de (Frank Schneider)]

"E. Kuch" wrote:
> 
> Howha Liste:
> 
> Ein Auszug aus meiner /var/log/messages mit Kommentaren ist im Anhang:
> 
> Interessant ist der moegliche SYN-Flood Angriff und
> der Kernel-Murks. Danach war kein SMTP, POP3, SSH oder Telnet
> mehr moeglich. HTTP ging aber noch (Warscheinlich, weil SMTP usw.
> ueber den INETD laufen und der Webserver standalone).
> Das letzte "Apr 25 14:29:28 (none) -- MARK --" vor dem Reset sagt
> ja auch, dass noch was ging. Ach ja, die Platte war absolut nicht
> voll (Mindestens noch 500MB frei). Memory war auch in ordnung
> (Das konnte ich durch das Webinterface des Webservers noch sehen).
> Uptime war 111 Tage. ;(
> 
> BTW: Der angegeben IP des SYN-Flood hab' ich einen Besuch abgestattet.
> Mich auf dem SMTP Server eingeloggt, und Ihm 'ne nette Mail hinterlassen,
> dass er gefaelligst auf sein System aufpassen soll. (Noch ein netter
> Kandidat fuer das IDDN *g*).
> 
> Was haltet Ihr von den Meldungen?
> Wie kann ich mich irgendwie vor SYN-Floods schuetzen, wenn's der Kernel
> schon merkt?

Der Kernel bietet doch ein Flag in der Konfig, wo ich mich vor
SYN-Floods schützen kann.
War das Flag an, oder wars nicht an ?

Ansonsten ist die Kiste vermutlich deswegen weggeknackt, weils den inetd
geschmissen hat.
Dagegen hilft evtl. diesen per Cron-Job alle paar Stunden neu zu
starten, bzw. nachzukucken,
ob er noch lebt und bei Bedarf neu zu starten. Dabei kann man dann auch
gleich den sshd wieder
starten...

Vor gezielten und massiven SYN-Angriffen kannst dich vermutlich (AFAIK)
gar nicht schützen...es sei denn, du stellst die Kiste hinter ne
Firewall, die dann dynamisch zupackt und die richtigen Frames
wegschmeißt...

Solong..
mfg Frank.

-- 
Frank Schneider, <spatz1 t-online de>
Microsoft isn't the answer.
Microsoft is the question, and the answer is NO.
...-.-