[vpsFree.cz: community-list] mnoho spojení SYN_RECV - DDOS botnet?

Stanislav Petr glux at glux.org
Thu Oct 31 11:01:34 CET 2019


Pripada mi to ze uz se reseni tohodle "probemu" dost prehani... Ze na server dorazilo 20 SYN packetu u kterejch nikdo uz neodpovedel na SYN+ACK, no to se proste stava! Az takovejhle spojeni budes mit 20 tisic za vterinu, tak ma smysl se tim zabejvat. Protoze jestli je potreba takhle strasne resit tehle par packetu tak si pust tcpdump nebo wireshark a koukni co na bezny verejny IPv4 adresy chodi v udp a uz neusnes vubec! :D

A k tomu firewallu dole v mejlu, branit se na firewallu DDoS utoku firewallem kterej ma nahozenej conntrack, to se muzes rovnou sam strelit do nohy! Z pohledu utocnika kterej chce udelat DoS utok, bych ze zapnutyho conntracku na koncovym serveru mel veeeelikou radost.

--
Stanislav Petr


> 31. 10. 2019 v 10:33, Michal Halenka <michal.halenka at gmail.com>:
> 
> Ahoj,
> 
> můžeš prosím přidat i výpis:
> iptables -vL
> 
> aby bylo vidět které pravidlo to "vyřešilo"?
> 
> Díky
> MH
> 
> Dne 30. 10. 19 v 10:08 Petr Parolek napsal(a):
>> Ahoj,
>> 
>> včera jsem trochu hledal na internetu a pomohlo mi přidat tyto
>> pravidla ze článku https://javapipe.com/blog/iptables-ddos-protection/
>> a zdá se, že fungují:
>> 
>> ### 1: Drop invalid packets ###
>> /sbin/iptables -t mangle -A PREROUTING -m conntrack --ctstate INVALID -j DROP
>> 
>> ### 2: Drop TCP packets that are new and are not SYN ###
>> /sbin/iptables -t mangle -A PREROUTING -p tcp ! --syn -m conntrack
>> --ctstate NEW -j DROP
>> 
>> ### 3: Drop SYN packets with suspicious MSS value ###
>> /sbin/iptables -t mangle -A PREROUTING -p tcp -m conntrack --ctstate
>> NEW -m tcpmss ! --mss 536:65535 -j DROP
>> 
>> ### 4: Block packets with bogus TCP flags ###
>> /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags
>> FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
>> /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,SYN
>> FIN,SYN -j DROP
>> /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags SYN,RST
>> SYN,RST -j DROP
>> /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,RST
>> FIN,RST -j DROP
>> /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,ACK FIN -j DROP
>> /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ACK,URG URG -j DROP
>> /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ACK,FIN FIN -j DROP
>> /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ACK,PSH PSH -j DROP
>> /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL ALL -j DROP
>> /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL NONE -j DROP
>> /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL
>> FIN,PSH,URG -j DROP
>> /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL
>> SYN,FIN,PSH,URG -j DROP
>> /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL
>> SYN,RST,ACK,FIN,URG -j DROP
>> 
>> ### 5: Block spoofed packets ###
>> /sbin/iptables -t mangle -A PREROUTING -s 224.0.0.0/3 -j DROP
>> /sbin/iptables -t mangle -A PREROUTING -s 169.254.0.0/16 -j DROP
>> /sbin/iptables -t mangle -A PREROUTING -s 172.16.0.0/12 -j DROP
>> /sbin/iptables -t mangle -A PREROUTING -s 192.0.2.0/24 -j DROP
>> /sbin/iptables -t mangle -A PREROUTING -s 192.168.0.0/16 -j DROP
>> /sbin/iptables -t mangle -A PREROUTING -s 10.0.0.0/8 -j DROP
>> /sbin/iptables -t mangle -A PREROUTING -s 0.0.0.0/8 -j DROP
>> /sbin/iptables -t mangle -A PREROUTING -s 240.0.0.0/5 -j DROP
>> /sbin/iptables -t mangle -A PREROUTING -s 127.0.0.0/8 ! -i lo -j DROP
>> 
>> ### 6: Drop ICMP (you usually don't need this protocol) ###
>> /sbin/iptables -t mangle -A PREROUTING -p icmp -j DROP
>> 
>> ### 7: Drop fragments in all chains ###
>> /sbin/iptables -t mangle -A PREROUTING -f -j DROP
>> 
>> ### 8: Limit connections per source IP ###
>> /sbin/iptables -A INPUT -p tcp -m connlimit --connlimit-above 111 -j
>> REJECT --reject-with tcp-reset
>> 
>> ### 9: Limit RST packets ###
>> /sbin/iptables -A INPUT -p tcp --tcp-flags RST RST -m limit --limit
>> 2/s --limit-burst 2 -j ACCEPT
>> /sbin/iptables -A INPUT -p tcp --tcp-flags RST RST -j DROP
>> 
>> ### 10: Limit new TCP connections per second per source IP ###
>> /sbin/iptables -A INPUT -p tcp -m conntrack --ctstate NEW -m limit
>> --limit 60/s --limit-burst 20 -j ACCEPT
>> /sbin/iptables -A INPUT -p tcp -m conntrack --ctstate NEW -j DROP
>> 
>> ### 1: Drop invalid packets ###
>> /sbin/iptables -t mangle -A PREROUTING -m conntrack --ctstate INVALID -j DROP
>> 
>> ### 2: Drop TCP packets that are new and are not SYN ###
>> /sbin/iptables -t mangle -A PREROUTING -p tcp ! --syn -m conntrack
>> --ctstate NEW -j DROP
>> 
>> ### 3: Drop SYN packets with suspicious MSS value ###
>> /sbin/iptables -t mangle -A PREROUTING -p tcp -m conntrack --ctstate
>> NEW -m tcpmss ! --mss 536:65535 -j DROP
>> 
>> ### 4: Block packets with bogus TCP flags ###
>> /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags
>> FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
>> /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,SYN
>> FIN,SYN -j DROP
>> /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags SYN,RST
>> SYN,RST -j DROP
>> /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,RST
>> FIN,RST -j DROP
>> /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,ACK FIN -j DROP
>> /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ACK,URG URG -j DROP
>> /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ACK,FIN FIN -j DROP
>> /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ACK,PSH PSH -j DROP
>> /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL ALL -j DROP
>> /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL NONE -j DROP
>> /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL
>> FIN,PSH,URG -j DROP
>> /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL
>> SYN,FIN,PSH,URG -j DROP
>> /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL
>> SYN,RST,ACK,FIN,URG -j DROP
>> 
>> ### 5: Block spoofed packets ###
>> /sbin/iptables -t mangle -A PREROUTING -s 224.0.0.0/3 -j DROP
>> /sbin/iptables -t mangle -A PREROUTING -s 169.254.0.0/16 -j DROP
>> /sbin/iptables -t mangle -A PREROUTING -s 172.16.0.0/12 -j DROP
>> /sbin/iptables -t mangle -A PREROUTING -s 192.0.2.0/24 -j DROP
>> /sbin/iptables -t mangle -A PREROUTING -s 192.168.0.0/16 -j DROP
>> /sbin/iptables -t mangle -A PREROUTING -s 10.0.0.0/8 -j DROP
>> /sbin/iptables -t mangle -A PREROUTING -s 0.0.0.0/8 -j DROP
>> /sbin/iptables -t mangle -A PREROUTING -s 240.0.0.0/5 -j DROP
>> /sbin/iptables -t mangle -A PREROUTING -s 127.0.0.0/8 ! -i lo -j DROP
>> 
>> ### 6: Drop ICMP (you usually don't need this protocol) ###
>> /sbin/iptables -t mangle -A PREROUTING -p icmp -j DROP
>> 
>> ### 7: Drop fragments in all chains ###
>> /sbin/iptables -t mangle -A PREROUTING -f -j DROP
>> 
>> ### 8: Limit connections per source IP ###
>> /sbin/iptables -A INPUT -p tcp -m connlimit --connlimit-above 111 -j
>> REJECT --reject-with tcp-reset
>> 
>> ### 9: Limit RST packets ###
>> /sbin/iptables -A INPUT -p tcp --tcp-flags RST RST -m limit --limit
>> 2/s --limit-burst 2 -j ACCEPT
>> /sbin/iptables -A INPUT -p tcp --tcp-flags RST RST -j DROP
>> 
>> ### 10: Limit new TCP connections per second per source IP ###
>> /sbin/iptables -A INPUT -p tcp -m conntrack --ctstate NEW -m limit
>> --limit 60/s --limit-burst 20 -j ACCEPT
>> /sbin/iptables -A INPUT -p tcp -m conntrack --ctstate NEW -j DROP
>> 
>> 
>> Petr
>> 
>> st 30. 10. 2019 v 10:02 odesílatel Pavel Snajdr <snajpa at snajpa.net> napsal:
>>> 
>>> Nejlip bude to na Internet nevystavovat v takovym pripade vubec ;)
>>> 
>>> Nebo jaky je toho duvod? Ja to nechapu. Je smyslem zamezit jakemukoliv dalsimu vyhledavaci, co neni Google, aby vubec vzniknul?
>>> 
>>> Nebo proc proboha?
>>> 
>>> Vzdyt byt videt je podstatou toho byt na Internetu...
>>> 
>>> /snajpa
>>> 
>>> On 30 Oct 2019, at 09:59, V.K. <vencour at gmail.com> wrote:
>>> 
>>> Je něco proti něčemu dropovat obecně celý provoz z AS patřícího k oné IP adrese? Plus nějaké porty povoluju.
>>> 
>>> To podle toho, jak se to u mne vyskytuje v logu a podle četnosti.
>>> 
>>> 
>>> Vencour
>>> 
>>> 
>>> On 30. 10. 19 9:52, zd nex wrote:
>>> 
>>> Tak jsem to trochu prozkoumal více, vypadá to že je to nějaký scanner. Nyní je neaktivní (na žádném serveru to není)  a vypadá to, že přistupuje z  více obdobných adres např.  - každá z nich je z jiné části Amazonu (routing, compute) apod.. Vše je ale AWS Soul.
>>> 54.180.139.105
>>> 54.180.138.177
>>> 54.180.163.44
>>> 54.180.139.105
>>> 
>>> 13.124.8.54
>>> 13.125.235.121
>>> 13.125.197.34 - tato dokonce je živá a jede tam nějaký mail server
>>> 
>>> https://www.abuseipdb.com/check/54.180.139.105
>>> https://www.abuseipdb.com/check/13.125.197.34
>>> 
>>> podle komentářů to opravdu vypadá na nějaký scanner / SYN flood?
>>> 
>>> st 30. 10. 2019 v 9:26 odesílatel Pavel Snajdr <snajpa at snajpa.net> napsal:
>>>> 
>>>> ... tak to prozkoumej, kdyz to rikas ;)
>>>> 
>>>> /snajpa
>>>> 
>>>> On 30 Oct 2019, at 07:04, zd nex <zdnexnet at gmail.com> wrote:
>>>> 
>>>> Ahojte,
>>>> 
>>>> popravdě jsem si toho také všiml, je to > vše na 443 nebo 80 portu. Většina adress je Amazon south asia (seoul) + nějaký provider Leaseweb NL, je to na všech serverech.  Trochu by to asi stálo za prozkoumání. Není toho moc cca 50 -200. V minulosti to bylo víc, pak to ustálo a asi se to oživuje?
>>>> 
>>>> Zdenek
>>>> út 29. 10 2019 v 19:48 odesílatel Pavel Snajdr <snajpa at snajpa.net> napsal:
>>>>> 
>>>>> Ahoj,
>>>>> 
>>>>> co myslis tim resit na infrastrukture? My Ti do trafficu sahat nebudeme,
>>>>> pokud to nebude prusvih velikosti, jako byl ten prusvih s memcached udp
>>>>> amplification utokama - nic takovyho nepozorujeme; kazdopadne je mozny,
>>>>> ze se zase neco rozmaha (ale podle toho, ze se zatim nezvedla vlna abuse
>>>>> notices, to nevypada).
>>>>> 
>>>>> Kazdopadne se ujisti, ze mas vsechno aktualni - z poslednich dni hlavne
>>>>> napr. PHP-FPM, ktere ma remote code execution diru v urcitych setupech
>>>>> uz od PHP5... a na PHP7 je venku proof of concept exploit.
>>>>> 
>>>>> /snajpa
>>>>> 
>>>>> On 2019-10-29 15:28, Petr Parolek wrote:
>>>>>> Ahoj,
>>>>>> 
>>>>>> už několik dnů na mé VPS pozoruju mnoho spojení se stavem SYN_RECV
>>>>>> 
>>>>>> viz: netstat -anp |grep 'SYN_RECV' | awk '{print $5}' | cut -d: -f1 |
>>>>>> sort | uniq -c | sort -n
>>>>>>     23 xxx.xxx.xxx.xxx
>>>>>>     23 xxx.xxx.xxx.xxx
>>>>>> ...
>>>>>> 
>>>>>> okolo 20 IP adres.
>>>>>> 
>>>>>> Mám se tím znepokojovat nebo je vše ok a vše by se mělo řešit na
>>>>>> infrastruktuře?
>>>>>> 
>>>>>> Díky moc za postřehy a rady
>>>>>> 
>>>>>> 
>>>>>> Petr
>>>>>> _______________________________________________
>>>>>> Community-list mailing list
>>>>>> Community-list at lists.vpsfree.cz
>>>>>> http://lists.vpsfree.cz/listinfo/community-list
>>>>> _______________________________________________
>>>>> Community-list mailing list
>>>>> Community-list at lists.vpsfree.cz
>>>>> http://lists.vpsfree.cz/listinfo/community-list
>>>> 
>>>> 
>>>> _______________________________________________
>>>> Community-list mailing list
>>>> Community-list at lists.vpsfree.cz
>>>> http://lists.vpsfree.cz/listinfo/community-list
>>>> 
>>>> _______________________________________________
>>>> Community-list mailing list
>>>> Community-list at lists.vpsfree.cz
>>>> http://lists.vpsfree.cz/listinfo/community-list
>>> 
>>> 
>>> 
>>> _______________________________________________
>>> Community-list mailing list
>>> Community-list at lists.vpsfree.cz
>>> http://lists.vpsfree.cz/listinfo/community-list
>>> 
>>> _______________________________________________
>>> Community-list mailing list
>>> Community-list at lists.vpsfree.cz
>>> http://lists.vpsfree.cz/listinfo/community-list
>>> 
>>> _______________________________________________
>>> Community-list mailing list
>>> Community-list at lists.vpsfree.cz
>>> http://lists.vpsfree.cz/listinfo/community-list
>> _______________________________________________
>> Community-list mailing list
>> Community-list at lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
>> 
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list



More information about the Community-list mailing list