我有一台 Centos7 伺服器,經過多年的正常工作,昨天它開始無法訪問(我在那裡的伺服器應用程式無法恢復,SSH 連接超時等,但 ping 有效)。
昨天它變得無法訪問,唯一的解決方法是停止它並重新啟動它。但一小時後,同樣的事情發生了。
經過一些研究,這可能是由於 SYN 洪水攻擊造成的。
檢查連線日誌,我發現有多次登入嘗試,例如:
Jan 26 08:18:08 vsi-prod sshd[2691]: Invalid user aadil from 190.153.249.99 port 59598
Jan 26 08:18:08 vsi-prod sshd[2691]: input_userauth_request: invalid user aadil [preauth]
Jan 26 08:18:08 vsi-prod sshd[2691]: Received disconnect from 190.153.249.99 port 59598:11: Bye Bye [preauth]
Jan 26 08:18:08 vsi-prod sshd[2691]: Disconnected from 190.153.249.99 port 59598 [preauth]
Jan 26 08:18:12 vsi-prod sshd[2695]: Invalid user db2fenc2 from 143.110.241.56 port 54456
Jan 26 08:18:12 vsi-prod sshd[2695]: input_userauth_request: invalid user db2fenc2 [preauth]
Jan 26 08:18:13 vsi-prod sshd[2695]: Received disconnect from 143.110.241.56 port 54456:11: Bye Bye [preauth]
Jan 26 08:18:13 vsi-prod sshd[2695]: Disconnected from 143.110.241.56 port 54456 [preauth]
我禁用了連接埠 22,但問題不斷發生。
我試圖通過生成速率限制器iptables,但它也不起作用
sudo iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m hashlimit --hashlimit 5/minute --hashlimit-burst 5 --hashlimit-mode srcip --hashlimit-name ssh-limit -j ACCEPT
最後,我創建了 somaxconn 但問題仍然存在...
net.core.somaxconn = 1024
有關於如何修復它的建議嗎?我需要執行哪些設定/工具來避免這種情況?
答案1
(這應該是一條評論 - 但太長/評論不格式化)
這是因為 SYN 洪水攻擊
你確定嗎?你是如何確定這一點的?你檢查過是否同步餅乾已開啟?
我看到有多次登入嘗試
歡迎來到網路。我想您知道這些可能與同步洪水無關。看應對「殭屍網路」sshd 登入失敗率高得驚人的技巧?