защита от син атаки

motango:~# netstat -n | wc -l
1038

tcp 0 12684 83.167.29.37:80 41.196.195.34:2642 FIN_WAIT1
tcp 0 6924 83.167.29.37:80 59.94.15.228:61908 FIN_WAIT1
tcp 0 0 83.167.29.37:80 213.180.107.231:3773 TIME_WAIT
tcp 0 0 83.167.29.37:80 174.35.251.138:63067 TIME_WAIT
tcp 0 0 83.167.29.37:80 41.196.195.34:2593 TIME_WAIT
tcp 0 0 83.167.29.37:80 122.173.234.187:4849 TIME_WAIT
tcp 0 0 83.167.29.37:80 213.180.107.231:3840 TIME_WAIT
tcp 0 5384 83.167.29.37:80 122.166.49.87:28364 FIN_WAIT1
tcp 0 27741 83.167.29.37:80 60.254.57.88:4633 FIN_WAIT1
tcp 0 0 83.167.29.37:80 213.180.107.231:3938 TIME_WAIT
tcp 0 12684 83.167.29.37:80 87.241.161.93:4136 FIN_WAIT1
tcp 0 9764 83.167.29.37:80 217.245.110.143:2089 FIN_WAIT1
tcp 0 0 83.167.29.37:80 41.237.70.189:2486 TIME_WAIT
tcp 0 0 83.167.29.37:80 89.178.0.44:3137 TIME_WAIT
tcp 0 15489 83.167.29.37:80 74.190.54.124:61295 FIN_WAIT1
tcp 0 0 83.167.29.37:80 194.65.67.42:57448 TIME_WAIT
tcp 0 0 83.167.29.37:80 94.178.72.77:2533 FIN_WAIT2
tcp 0 13601 83.167.29.37:80 203.219.88.166:2873 FIN_WAIT1
tcp 0 30493 83.167.29.37:80 41.210.15.200:61169 FIN_WAIT1
tcp 0 0 83.167.29.37:80 190.14.227.250:3072 TIME_WAIT
tcp 0 29041 83.167.29.37:80 122.164.61.246:2840 FIN_WAIT1
tcp 0 0 83.167.29.37:80 190.14.227.250:3058 TIME_WAIT
tcp 0 2464 83.167.29.37:80 213.184.241.81:14179 FIN_WAIT1
tcp 0 0 83.167.29.37:80 94.178.72.77:2509 FIN_WAIT2
tcp 0 0 83.167.29.37:80 125.163.11.50:51635 TIME_WAIT
tcp 0 0 83.167.29.37:80 87.97.98.80:1181 TIME_WAIT
tcp 0 0 83.167.29.37:80 89.178.0.44:3197 TIME_WAIT
tcp 0 0 83.167.29.37:80 41.237.70.189:1905 TIME_WAIT
tcp 0 0 83.167.29.37:80 89.178.0.44:3001 TIME_WAIT
tcp 0 0 83.167.29.37:80 83.24.138.87:4004 TIME_WAIT
tcp 0 0 83.167.29.37:80 122.53.155.127:2646 TIME_WAIT
tcp 0 0 83.167.29.37:80 89.178.0.44:3233 TIME_WAIT
tcp 0 1004 83.167.29.37:80 85.233.95.167:1639 FIN_WAIT1
tcp 0 0 83.167.29.37:80 188.163.1.4:3195 TIME_WAIT
tcp 0 0 83.167.29.37:80 174.35.251.138:52942 FIN_WAIT2

кусочек того, что под вц.

это статистика работы нгинкса за 3 секунды)))))

tcp 0 12889 83.167.29.37:80 202.134.194.132:39654 FIN_WAIT1
tcp 0 13424 83.167.29.37:80 202.65.138.186:38362 FIN_WAIT1
tcp 0 20441 83.167.29.37:80 118.94.111.183:3764 FIN_WAIT1
tcp 0 66641 83.167.29.37:80 59.161.91.34:51214 FIN_WAIT1
tcp 0 32121 83.167.29.37:80 118.33.73.65:2916 FIN_WAIT1
tcp 0 63921 83.167.29.37:80 59.161.91.34:51356 FIN_WAIT1
tcp 0 15973 83.167.29.37:80 122.162.126.187:1052 FIN_WAIT1
tcp 0 0 83.167.29.37:80 59.163.89.119:40514 TIME_WAIT
tcp 0 27741 83.167.29.37:80 124.186.231.246:62071 FIN_WAIT1
tcp 0 29201 83.167.29.37:80 89.250.27.172:3817 FIN_WAIT1
tcp 0 58081 83.167.29.37:80 58.10.170.38:21643 FIN_WAIT1
tcp 0 33397 83.167.29.37:80 88.232.99.69:1587 FIN_WAIT1
tcp 0 34081 83.167.29.37:80 117.194.193.30:22848 FIN_WAIT1
tcp 0 33409 83.167.29.37:80 190.46.181.232:18896 FIN_WAIT1
tcp 0 32121 83.167.29.37:80 190.40.0.137:2068 FIN_WAIT1
tcp 0 18877 83.167.29.37:80 90.189.165.101:1197 FIN_WAIT1
tcp 0 65979 83.167.29.37:80 115.241.85.64:42842 FIN_WAIT1
tcp 0 0 83.167.29.37:80 202.143.139.118:41683 TIME_WAIT
tcp 0 27201 83.167.29.37:80 121.245.102.15:13664 FIN_WAIT1
tcp 0 33121 83.167.29.37:80 77.51.43.51:1668 FIN_WAIT1
tcp 0 0 83.167.29.37:80 202.143.139.118:41959 TIME_WAIT
tcp 0 31945 83.167.29.37:80 190.139.83.225:1055 FIN_WAIT1
tcp 0 66793 83.167.29.37:80 58.10.170.38:21640 FIN_WAIT1
tcp 0 56941 83.167.29.37:80 61.85.171.18:4774 FIN_WAIT1
tcp 0 18981 83.167.29.37:80 202.160.160.43:24073 FIN_WAIT1
tcp 0 2881 83.167.29.37:80 95.54.129.33:2132 FIN_WAIT1
tcp 0 65079 83.167.29.37:80 118.100.53.17:1985 FIN_WAIT1
tcp 0 29041 83.167.29.37:80 95.59.67.2:1500 FIN_WAIT1
tcp 0 18877 83.167.29.37:80 125.164.213.218:4686 FIN_WAIT1
tcp 0 33489 83.167.29.37:80 81.25.249.23:4499 FIN_WAIT1
tcp 0 33675 83.167.29.37:80 88.232.99.69:1588 FIN_WAIT1
tcp 0 28641 83.167.29.37:80 41.237.20.42:1796 FIN_WAIT1
tcp 0 33397 83.167.29.37:80 122.164.94.163:3374 FIN_WAIT1
tcp 0 33397 83.167.29.37:80 122.162.150.209:2515 FIN_WAIT1
tcp 0 0 83.167.29.37:80 88.234.128.222:13616 TIME_WAIT
tcp 0 13316 83.167.29.37:80 189.20.181.130:50343 FIN_WAIT1
tcp 0 33581 83.167.29.37:80 203.252.19.154:1454 FIN_WAIT1
tcp 0 13141 83.167.29.37:80 189.20.110.10:17583 FIN_WAIT1
tcp 0 33581 83.167.29.37:80 69.253.22.66:4020 FIN_WAIT1

смотрите фишку. мне забивают канал просто "скачиваниями" … как вы думаете? как это обойти? их срзу видно, но я не знаю отличаются ли козлы от обычных пользователей?

echo 2 > /proc/sys/net/ipv4/tcp_fin_timeout

поставил таймаут на 2 секунды.

бля бля бля

как вот ето убить?

tcp 0 0 83.167.29.37:80 190.2.98.107:2993 SYN_RECV
tcp 0 0 83.167.29.37:80 89.7.100.21:1048 SYN_RECV
tcp 0 0 83.167.29.37:80 190.77.198.72:4907 SYN_RECV
tcp 0 0 83.167.29.37:80 124.124.60.80:41733 SYN_RECV
tcp 0 0 83.167.29.37:80 201.166.56.249:1959 SYN_RECV
tcp 0 0 83.167.29.37:80 41.233.61.108:25067 SYN_RECV
tcp 0 0 83.167.29.37:80 189.72.188.95:50291 SYN_RECV
tcp 0 0 83.167.29.37:80 91.77.89.47:2550 SYN_RECV
tcp 0 0 83.167.29.37:80 82.11.1.254:2624 SYN_RECV
tcp 0 0 83.167.29.37:80 201.80.177.213:1115 SYN_RECV
tcp 0 0 83.167.29.37:80 61.19.22.180:39715 SYN_RECV
tcp 0 0 83.167.29.37:80 187.40.220.157:60632 SYN_RECV
tcp 0 0 83.167.29.37:80 200.3.250.159:5436 SYN_RECV
tcp 0 0 83.167.29.37:80 41.236.238.242:15454 SYN_RECV
tcp 0 0 83.167.29.37:80 89.218.100.94:21244 SYN_RECV
tcp 0 0 83.167.29.37:80 201.166.56.249:1959 SYN_RECV
tcp 0 0 83.167.29.37:80 41.236.162.249:1374 SYN_RECV
tcp 0 0 83.167.29.37:80 41.233.61.108:25067 SYN_RECV
tcp 0 0 83.167.29.37:80 189.72.188.95:50291 SYN_RECV
tcp 0 0 83.167.29.37:80 213.210.226.203:18160 SYN_RECV
tcp 0 0 83.167.29.37:80 82.11.1.254:2624 SYN_RECV
tcp 0 0 83.167.29.37:80 201.80.177.213:1115 SYN_RECV
tcp 0 0 83.167.29.37:80 41.236.238.111:51943 SYN_RECV
tcp 0 0 83.167.29.37:80 187.40.220.157:60632 SYN_RECV
tcp 0 0 83.167.29.37:80 78.93.162.210:30657 SYN_RECV
tcp 0 0 83.167.29.37:80 41.236.238.242:15454 SYN_RECV
tcp 0 0 83.167.29.37:80 187.35.251.40:29233 SYN_RECV
tcp 0 0 83.167.29.37:80 218.51.24.243:4455 SYN_RECV
tcp 0 0 83.167.29.37:80 200.175.90.218:1451 SYN_RECV
tcp 0 0 83.167.29.37:80 187.40.82.230:2553 SYN_RECV
tcp 0 0 83.167.29.37:80 218.51.24.243:4431 SYN_RECV
tcp 0 0 83.167.29.37:80 61.19.22.180:39719 SYN_RECV
tcp 0 0 83.167.29.37:80 130.13.195.103:1854 SYN_RECV
tcp 0 0 83.167.29.37:80 59.94.177.236:2647 SYN_RECV
tcp 0 0 83.167.29.37:80 201.51.39.199:4521 SYN_RECV
tcp 0 0 83.167.29.37:80 41.236.238.242:15461 SYN_RECV
tcp 0 0 83.167.29.37:80 88.246.41.97:4600 SYN_RECV
tcp 0 0 83.167.29.37:80 200.147.38.238:9336 SYN_RECV
tcp 0 0 83.167.29.37:80 189.55.119.96:7559 SYN_RECV
tcp 0 0 83.167.29.37:80 41.238.152.60:20000 SYN_RECV

пиздец вот в чем ((

motango:/sites/vipkiss.ru/logs# netstat -n | wc -l
23318

motango:/sites/vipkiss.ru/logs# netstat -tan | grep ':80 ' | awk '{print $6}' | sort | uniq -c
10 CLOSING
63 ESTABLISHED
772 FIN_WAIT1
31 FIN_WAIT2
12 LAST_ACK
1 LISTEN
155 SYN_RECV
1 SYN_SENT
24383 TIME_WAIT

пиздец ситуация.

есть нгинкс, который отдает 404 код ошибки(дропнуть соединение) и он его дропает, но хуево. сокет зависает в ожидании :(

плюс: траф не генерится вообще под ддосом, ибо нгинкс работает как файрволл
минус: все буферы заканчиваются за минуту :(

phpdude, я не боролся с син :(

с камими боролся? там у мну не син по ходу, а нгинкс хуево закрывающий соединения((

блог мой читай, будешь в курсе http://adw0rd.ru/

каюсь ((

у которых нет Useg-Agent'а

у мну есть, в том то и дело :( таких бы я занехуйнахуй послал нахуй)

phpdude, тогда смотри по кол-ву соединений с одного ипа

5 вайтов в среднем))) от меня столько же с браузера идет. атакуют ботнетом зараженнх писюков :( блядство))

они по юрлу спалились, я их добавил в файер .. но чето странное