私は Centos7 サーバーを所有していますが、何年も正常に動作していたのに、昨日からアクセス不能になりました (サーバー アプリにアクセスできず、SSH 接続がタイムアウトになるなどしていましたが、ping は機能していました)。
昨日はアクセス不能になり、唯一の回避策は停止して再起動することだけでした。しかし、1時間も経たないうちに、同じことが起こります。
調査してみると、SYN フラッド攻撃が原因の可能性があることがわかりました。
接続ログを確認すると、次のようなログイン試行が複数回あることがわかります。
Jan 26 08:18:08 vsi-prod sshd[2691]: Invalid user aadil from 190.153.249.99 port 59598
Jan 26 08:18:08 vsi-prod sshd[2691]: input_userauth_request: invalid user aadil [preauth]
Jan 26 08:18:08 vsi-prod sshd[2691]: Received disconnect from 190.153.249.99 port 59598:11: Bye Bye [preauth]
Jan 26 08:18:08 vsi-prod sshd[2691]: Disconnected from 190.153.249.99 port 59598 [preauth]
Jan 26 08:18:12 vsi-prod sshd[2695]: Invalid user db2fenc2 from 143.110.241.56 port 54456
Jan 26 08:18:12 vsi-prod sshd[2695]: input_userauth_request: invalid user db2fenc2 [preauth]
Jan 26 08:18:13 vsi-prod sshd[2695]: Received disconnect from 143.110.241.56 port 54456:11: Bye Bye [preauth]
Jan 26 08:18:13 vsi-prod sshd[2695]: Disconnected from 143.110.241.56 port 54456 [preauth]
ポート 22 を無効にしましたが、問題は引き続き発生します。また、要求は閉じられているはずのポートに対して行われています (再確認しました)。
レートリミッターを生成しようとしましたiptablesが、うまくいきませんでした
sudo iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m hashlimit --hashlimit 5/minute --hashlimit-burst 5 --hashlimit-mode srcip --hashlimit-name ssh-limit -j ACCEPT
そして最後に、somaxconn を作成しましたが、問題はまだ残っています...
net.core.somaxconn = 1024
修正方法についての提案はありますか? このシナリオを回避するには、どのような設定/ツールを実行する必要がありますか?
答え1
(これはコメントであるべきですが、長すぎます / コメントはフォーマットされていません)
それはSYNフラッド攻撃によるものです
本当にそうでしょうか?どうやってそれを判断したのですか?シンクッキーオンになっていますか?
ログイン試行が複数回あるようです
インターネットへようこそ。これらはおそらくシンフラッドとは関係ないことはご存じだと思います。驚くほど高い割合の「ボットネット」sshd ログイン失敗に対処するためのヒントはありますか?