tcp 0 0 195.116.242.*:80 202.104.237.6:1627 SYN_RECV
tcp 0 0 195.116.242.*:80 202.104.237.6:2918 SYN_RECV
tcp 0 0 195.116.242.*:80 202.104.237.6:3526 SYN_RECV
tcp 0 0 195.116.242.*:80 24.127.169.163:3885 SYN_RECV
tcp 0 0 195.116.242.*:80 218.76.65.2:4040 SYN_RECV
tcp 0 0 195.116.242.*:80 202.104.237.6:3558 SYN_RECV
tcp 0 0 195.116.242.*:80 202.104.237.6:1741 SYN_RECV
tcp 0 0 195.116.242.*:80 202.104.237.6:1128 SYN_RECV
tcp 0 0 195.116.242.*:80 202.104.237.6:1845 SYN_RECV
tcp 0 0 195.116.242.*:80 202.104.237.6:2741 SYN_RECV
tcp 0 0 195.116.242.*:80 202.104.237.6:1045 SYN_RECV
tcp 0 0 195.116.242.*:80 151.198.154.213:3455 SYN_RECV
tcp 0 0 195.116.242.*:80 202.104.237.6:2628 SYN_RECV
tcp 0 0 195.116.242.*:80 202.104.237.6:2789 SYN_RECV
tcp 0 0 195.116.242.*:80 202.104.237.6:1482 SYN_RECV
tcp 0 0 195.116.242.*:80 202.104.237.6:3670 SYN_RECV
tcp 0 0 195.116.242.*:80 202.104.237.6:4899 SYN_RECV
tcp 0 0 195.116.242.*:80 202.104.237.6:3206 SYN_RECV
tcp 0 0 195.116.242.*:80 202.104.237.6:3973 SYN_RECV
tcp 0 0 195.116.242.*:80 202.104.237.6:3615 SYN_RECV
cos mi to wyglada na syn-flood
zapomnialem napisac, ze przed syn-floodem mozna takze zabezpieczyc sie na poziomie samiego kernela - syn-cookies, wyedytuj .config i sprawdz, czy masz taka linie:
CONFIG_SYN_COOKIES=y
ograniczyles tez ilosc otwartych sesji spod tego samego ip??
nie wiem, czy bedzie Ci dzialac ten anty-land poniewaz jak komputer dziala w sieci to pewnie ma inne ip niz ten, co jest przez niego wyjscie realizowane ale jak to tam jest to do konca nie wiem
krotko mowiac sprawdz, czy w logach iptables ip docelowe to na pewno ip Twojej maszyny.
a teraz kolejne reguly, dodalem blokowanie syfiastych zakresow - moze pomoze :/
#!/bin/sh
#generated by ipt-qt-conf 1.3.2
#report bugs and wishes to amdfanatyk: amdfanatyk (at) wp (dot) pl
/sbin/iptables -F INPUT
/sbin/iptables -F OUTPUT
/sbin/iptables -F FORWARD
/sbin/iptables -Z INPUT
/sbin/iptables -Z OUTPUT
/sbin/iptables -Z FORWARD
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -P FORWARD DROP
/sbin/iptables -X syn
/sbin/iptables -X echorequest
/sbin/iptables -N syn
/sbin/iptables -N echorequest
#zastap ppp0 swoim interfejsem
current_ip="`ip addr show ppp0 | grep 'inet' | awk '{print $2}'`"
echo $current_ip
/sbin/iptables -A INPUT -i ppp0 -s $current_ip -j LOG --log-prefix 'FROM LAND '
/sbin/iptables -A INPUT -i ppp0 -s $current_ip -j DROP
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
/sbin/iptables -A INPUT -s 10.0.0.0/8 -j DROP # klasa A
/sbin/iptables -A INPUT -s 172.16.0.0/12 -j DROP # klasa B
#/sbin/iptables -A INPUT -s 192.168.0.0/16 -j DROP # klasa C
/sbin/iptables -A INPUT -s 224.0.0.0/4 -j DROP # multicast
/sbin/iptables -A INPUT -s 240.0.0.0/5 -j DROP # reserved
/sbin/iptables -A INPUT -p icmp --icmp-type echo-request -j echorequest
/sbin/iptables -A echorequest -m limit --limit 1/s -j ACCEPT
/sbin/iptables -A echorequest -j LOG --log-prefix 'FROM DOS '
/sbin/iptables -A echorequest -j DROP
/sbin/iptables -A INPUT -p tcp --tcp-flags ! ALL SYN -m state --state NEW -j LOG --log-prefix 'FROM NOSYN '
/sbin/iptables -A INPUT -p tcp --tcp-flags ! ALL SYN -m state --state NEW -j DROP
/sbin/iptables -A INPUT -p tcp --tcp-flags ALL SYN --dport 80 -m state --state NEW -j syn
/sbin/iptables -A syn -m limit --limit 1/s -j ACCEPT
/sbin/iptables -A syn -j LOG --log-prefix 'FROM DOS '
/sbin/iptables -A syn -j DROP
/sbin/iptables -A INPUT -m limit --limit 1/s -j LOG --log-prefix 'FROM DROP '