Ich habe einen Centos7-Server und nachdem er jahrelang einwandfrei funktioniert hat, war er gestern nicht mehr erreichbar (die Server-Apps, die ich dort habe, waren nicht erreichbar, die SSH-Verbindung hat eine Zeitüberschreitung usw. verursacht, aber der Ping hat funktioniert).
Gestern war es nicht erreichbar und die einzige Lösung war, es anzuhalten und neu zu starten. Aber nach einer Stunde oder weniger passiert das Gleiche.
Nach einigen Recherchen könnte es sein, dass es sich um einen SYN-Flood-Angriff handelt.
Beim Überprüfen der Verbindungsprotokolle sehe ich, dass es mehrere Anmeldeversuche gibt, zum Beispiel:
Jan 26 08:18:08 vsi-prod sshd[2691]: Invalid user aadil from 190.153.249.99 port 59598
Jan 26 08:18:08 vsi-prod sshd[2691]: input_userauth_request: invalid user aadil [preauth]
Jan 26 08:18:08 vsi-prod sshd[2691]: Received disconnect from 190.153.249.99 port 59598:11: Bye Bye [preauth]
Jan 26 08:18:08 vsi-prod sshd[2691]: Disconnected from 190.153.249.99 port 59598 [preauth]
Jan 26 08:18:12 vsi-prod sshd[2695]: Invalid user db2fenc2 from 143.110.241.56 port 54456
Jan 26 08:18:12 vsi-prod sshd[2695]: input_userauth_request: invalid user db2fenc2 [preauth]
Jan 26 08:18:13 vsi-prod sshd[2695]: Received disconnect from 143.110.241.56 port 54456:11: Bye Bye [preauth]
Jan 26 08:18:13 vsi-prod sshd[2695]: Disconnected from 143.110.241.56 port 54456 [preauth]
Ich deaktiviere Port 22, aber das Problem besteht weiterhin. Außerdem geht die Anfrage an den Port, der geschlossen sein sollte (ich habe das doppelt geprüft).
Ich habe versucht, einen Ratenbegrenzer zu generieren, iptablesaber das hat auch nicht funktioniert
sudo iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m hashlimit --hashlimit 5/minute --hashlimit-burst 5 --hashlimit-mode srcip --hashlimit-name ssh-limit -j ACCEPT
Und schließlich erstelle ich Somaxconn, aber das Problem besteht weiterhin ...
net.core.somaxconn = 1024
Gibt es einen Vorschlag zur Behebung des Problems? Welche Konfiguration/welches Tool muss ich verwenden, um dieses Szenario zu vermeiden?
Antwort1
(das sollte ein Kommentar sein – ist aber zu lang / Kommentare haben kein Format)
das liegt an einem SYN-Flood-Angriff
Bist du sicher? Wie hast du das festgestellt? Hast du überprüft, obsyn CookiesIst eingeschaltet?
Ich sehe, dass es mehrere Anmeldeversuche gibt
Willkommen im Internet. Ich nehme an, Sie wissen, dass diese wahrscheinlich nicht mit einer Syn-Flut zusammenhängen. SieheTipps zum Umgang mit einer überraschend hohen Rate an „Botnet“-SSHD-Anmeldefehlern?