У нас есть Linux-сервер (Debian-Lenny) с твердотельным накопителем, без классического жесткого диска. Он используется в качестве маршрутизатора, поэтому трафик только для пересылки.
Мы хотим отслеживать соединения, чтобы найти какой-нибудь синхронный флуд. Netstat может нам помочь, но у нас много трафика, почти 150 Мбит / с, и netstat, которые смотрят в '/ proc / net', блокируют трафик, поэтому мы не можем использовать этот метод. На самом деле мы используем правила iptables с 'hashlimit- *', чтобы убедиться, что: от источника не слишком много соединений за минуту. Но нелегко приспособиться к тому, что «слишком много» для какой-то сети позади нас.
Есть ли у кого-нибудь идеи, что мы можем сделать?
Спасибо за помощь,
Из сайт:
iptables -A INPUT -p tcp --syn -m limit --limit 10/s --limit-burst 5 -j ACCEPT
iptables -A INPUT -p tcp --syn -j LOG
iptables -A INPUT -p tcp --syn -j DROP
Ответ PP довольно хорош, но вы можете не захотеть применять правило «DROP» в конце, пока не будете уверены в трафике, который вы отбрасываете. Следите за правилом LOG и убедитесь, что вы не отбрасываете законный трафик.
Если вас беспокоят синхронные флуды, возможно, вы захотите включить синхронные файлы cookie. Файлы cookie Syn решают проблему заполнения вашей таблицы соединений полуоткрытыми соединениями. Хорошее описание на http://cr.yp.to/syncookies.html