DoS-атака???, MVictorL, 19-Ноя-04, 17:13 [смотреть все]На веб-сервере (под RH) стали часто появляться сообщения типаmessage.log: Nov 19 14:00:30 www2 kernel: NET: 3979 messages suppressed. Nov 19 14:00:35 www2 kernel: NET: 4000 messages suppressed. Nov 19 14:00:40 www2 kernel: NET: 4036 messages suppressed. Nov 19 14:00:45 www2 kernel: NET: 4015 messages suppressed. Nov 19 14:00:50 www2 kernel: NET: 4003 messages suppressed. dmesg: TCP: drop open request from xxx.xxx.xxx.xxx/5937 NET: 4000 messages suppressed. TCP: drop open request from xxx.xx.xxx.xxx/10938 NET: 4036 messages suppressed. TCP: drop open request from xx.xxx.xx.xx/15930 NET: 4015 messages suppressed. TCP: drop open request from xx.xxx.xxx.xx/20932 NET: 4003 messages suppressed. TCP: drop open request from xxx.xx.x.xxx/25921 Подскажите, пожалуйста, это DoS-атака? И, если да, - то, как с этим бороться. Заранее благодарен! |
- DoS-атака???, bass, 05:48 , 22-Ноя-04 (1)
>На веб-сервере (под RH) стали часто появляться сообщения типа > >message.log: >Nov 19 14:00:30 www2 kernel: NET: 3979 messages suppressed. >Nov 19 14:00:35 www2 kernel: NET: 4000 messages suppressed. >Nov 19 14:00:40 www2 kernel: NET: 4036 messages suppressed. >Nov 19 14:00:45 www2 kernel: NET: 4015 messages suppressed. >Nov 19 14:00:50 www2 kernel: NET: 4003 messages suppressed. > >dmesg: >TCP: drop open request from xxx.xxx.xxx.xxx/5937 >NET: 4000 messages suppressed. >TCP: drop open request from xxx.xx.xxx.xxx/10938 >NET: 4036 messages suppressed. >TCP: drop open request from xx.xxx.xx.xx/15930 >NET: 4015 messages suppressed. >TCP: drop open request from xx.xxx.xxx.xx/20932 >NET: 4003 messages suppressed. >TCP: drop open request from xxx.xx.x.xxx/25921 > >Подскажите, пожалуйста, это DoS-атака? >И, если да, - то, как с этим бороться. > >Заранее благодарен! похоже, что дос-атака. а ip вы зачем прикрыли? если ip не фейковые, сообщить их прову.использовать limits в файрволе, и использовать ограничение коннектов в приложениях торчащих наружу.
- DoS-атака???, MVictorL, 10:07 , 22-Ноя-04 (2)
>похоже, что дос-атака. >а ip вы зачем прикрыли? если ip не фейковые, сообщить их прову. > > >использовать limits в файрволе, и использовать ограничение коннектов в приложениях торчащих наружу. >Я, пока ждал ответа, нарыл такую штуку: /proc/sys/net/ipv4/tcp_syncookies. Что специалисты могут сказать по поводу использования данной опции ядра для борьбы с DoS-атаками?
|