hờ, đang chán, ko có chi để làm, ngồi viết bài này cho đỡ buồn, sau này ngồi đọc lại.
Server vừa bị tấn công DDOS, SYN Flood.
may mà vẫn log vào SSH dc
thử lệnh:
netstat -net | grep SYN
=> có khoảng gần 200IPs khác nhau đến từ rất nhiều dải đang gửi điên cuồng loạn xạ đến server vốn nhỏ nhẹ và liễu yếu của mềnh. haizzzzzzzzzzzz... làm thế nào đây

chẳng nhẽ bó tay
tiếp nhìn kq gửi vể nào
tất cả các yêu cầu đều được gửi đến cổng 80 nè, ô la la...
trước tiên, phải **** hoàn toàn theo nguyên tắc thà giết nhầm còn hơn bỏ xót
okie, thiết lập tường lửa nào:

iptables -N syn_flood
iptables -A INPUT -p tcp --syn -j syn_flood
iptables -A syn_flood -m limit --limit 1/s --limit-burst 1 -j RETURN
iptables -A syn_flood -j DROP

với thiết đặt tưởng lừa như này, gần như các bots sẽ bị DROP gần hết Kể cả khách thăm cũng toi nữa là bots Hô hô

Load của server sau 2 phút đã cải thiện rõ rệt hiệu quả rồi.

Tiếp tục nào:

điều trước tiên là phải bịt ngay cổng 80 vào Cổng này là cổng chết mờ

tìm đến locate của file httpd.conf

tìm dòng:
listen 80
sửa lại thành:
listen 9876

heheheeee, vậy là http đã chuyển sang cổng khác nhá. kha kha
giờ restart httpd nào các pờ rô.
dùng lệnh sau:

service httpd restart

Okie, giờ cổng là 9876 là cổng listen http

Nhưg khổ nối, muốn vào cổng này thì phải thêm http://domain:9876 thì mới truy nhập dc

Nhưg không sao, quay lại thiết lập cho tưởng lửa để tự động điều hướng cổng nào;

# iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 9876

Okie rồi, giờ mọi truy cập đã dc chuyển hướng từ cổng 80 sang cổng 9876 rồi đóa
hacker rất thông minh, nên mình phải bịt mọi ngã rẽ vào server trc khi hacker phát hiện ra nhé

Không để cho hacker phát hiện ra cổng 9876 đã được mở với lý do tế nhị
Chống scan port:

#iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

Okie, giờ thì quay lại phát nào
chờ sau 5 phút thì... kết quả là server load đã trở về trang thái gần như bt mặc dù vẫn hơi shock Nhưg đã truy cập lại được rồi nè Hô hô

Chống SYN Flood thành công

Ồ ZÊ
(bài viết mang tính tham khảo, không nên tham khảo để tìm phương án phòng tránh)
sau này sẽ có lợi cho 4rum nếu bị SYN Flood :yoyo107::yoyo107::yoyo107::yoyo107::yoyo107: