چجوری جلوی این حملاتو بگیرم syn (SYN

چجوری جلوی این حملاتو بگیرم syn (SYN_RECV) flood attacks

جلوی این ها رو چجوری بگیرم
csf نصبه ولی هیچ غلطی نمیکنه:((
:-ss

نقل قول:

root@box01 [~]# netstat -an|grep SYN_RECV
tcp 0 0 74.81.90.77:80 217.218.227.17:2773 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:50705 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:58392 SYN_RECV
tcp 0 0 74.81.90.66:80 89.144.145.87:2172 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:39654 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:43325 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:39671 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:59602 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:38711 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:40464 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:54662 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:36275 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:55249 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.244.77:51245 SYN_RECV
tcp 0 0 74.81.90.77:80 217.218.227.17:2844 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:34170 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:37663 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:52866 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:38420 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:44776 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.211.36:55674 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:37077 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:37691 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:53068 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:38373 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:50787 SYN_RECV
tcp 0 0 74.81.90.77:80 217.218.227.17:2837 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:33644 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:43814 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:40630 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:56626 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:41407 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:51328 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:39638 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:46365 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:58773 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:59879 SYN_RECV
tcp 0 0 74.81.90.77:80 83.147.215.130:1739 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:60575 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:34121 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.244.77:51240 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:38295 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:50101 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:38818 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:49875 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:37509 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:37646 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:55566 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:50698 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:33566 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:50830 SYN_RECV
tcp 0 0 74.81.90.77:80 79.127.30.144:1900 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:43926 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:46188 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:42917 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:37178 SYN_RECV
tcp 0 0 74.81.90.77:80 212.50.230.112:32404 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:42961 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:45816 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:38662 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:50230 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:37449 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:48181 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:43479 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:44877 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.244.77:51244 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:46938 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:50864 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:55320 SYN_RECV
tcp 0 0 74.81.90.77:80 217.218.227.17:2808 SYN_RECV
tcp 0 0 74.81.90.77:80 85.9.75.52:3067 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:49178 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:56068 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:35779 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:59372 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:48022 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:51784 SYN_RECV
tcp 0 0 74.81.90.77:80 83.147.215.130:1737 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:59241 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:44945 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:35702 SYN_RECV
tcp 0 0 74.81.90.77:80 217.218.227.17:2757 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:54433 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:49867 SYN_RECV
tcp 0 0 74.81.90.77:80 82.99.201.219:37709 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:54343 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.244.77:51246 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:59126 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:35457 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:39503 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:50639 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:34064 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:58785 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:51143 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:55184 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:50533 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:58330 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:34629 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.244.77:51242 SYN_RECV
tcp 0 0 74.81.90.77:80 93.126.14.178:1483 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:49597 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:41406 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:59332 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:48014 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:38023 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.138.131:37877 SYN_RECV

اینم تعداد کانکشن ها

نقل قول:

c|sort -n1 [~]# netstat -plan|grep :80|awk {'print $5'}|cut -d: -f 1|sort|uniq -
1 109.110.177.48
1 209.191.87.214
1 212.50.227.151
1 213.176.95.42
1 213.207.216.224
1 217.201.147.131
1 217.219.119.187
1 217.219.172.34
1 217.219.184.238
1 217.219.210.3
1 217.219.3.247
1 217.219.84.232
1 217.219.95.59
1 65.49.14.12
1 65.49.2.12
1 65.49.2.13
1 65.49.2.16
1 65.49.2.24
1 74.81.90.66
1 78.109.201.21
1 78.110.117.182
1 78.157.36.106
1 78.38.108.12
1 78.39.197.226
1 78.39.198.25
1 78.39.237.143
1 78.39.35.22
1 80.191.110.239
1 80.191.211.36
1 80.69.249.25
1 83.147.236.2
1 85.185.0.12
1 85.185.41.34
1 85.185.70.245
1 85.236.156.132
1 85.9.93.115
1 87.107.33.251
1 89.144.160.147
1 89.165.90.254
1 91.184.89.252
1 92.113.98.10
1 92.242.206.98
2 188.136.132.2
2 188.136.142.7
2 217.218.211.139
2 217.219.244.23
2 217.219.46.6
2 67.195.37.182
2 77.101.236.17
2 79.127.25.191
2 79.132.205.7
2 80.71.126.235
2 82.115.16.130
2 85.198.7.237
2 91.99.235.85
2 92.242.207.126
2 93.190.139.38
2 95.38.14.141
3 0.0.0.0
3 188.158.147.200
3 216.155.148.9
3 84.47.246.78
3 91.99.236.169
4 80.191.244.22
4 82.99.253.202
4 85.198.14.227
5 82.99.251.93
5 94.182.20.8
6 78.38.162.121
6 79.127.25.133
6 85.9.76.135
6 87.107.80.149
6 95.38.47.37
7 85.9.117.129
7 89.165.58.80
8 109.122.192.25
8 217.219.223.228
8 92.50.41.60
9 79.127.31.173
10 212.120.198.192
10 213.207.241.223
13 188.34.249.27
13 85.9.75.52
16 79.127.98.55
17 92.61.177.189
19 79.127.30.144
25 217.218.227.17
49 217.219.188.229
378 80.191.138.131

پاسخ : چجوری جلوی این حملاتو بگیرم syn (SYN_RECV) flood attacks

سرور رو خاموش کنید راحت !

پاسخ : چجوری جلوی این حملاتو بگیرم syn (SYN_RECV) flood attacks

این سه تا آیپی رو بلوک کن !

217.218.227.17
217.219.188.229
80.191.138.131

پاسخ : چجوری جلوی این حملاتو بگیرم syn (SYN_RECV) flood attacks

خوب می خوام اصولی باشه
یه چی باشه خودکار تشخیص بده d:

---------- Post added at 08:46 PM ---------- Previous post was at 08:43 PM ----------

نقل قول:

نوشته اصلی توسط nswir

سرور رو خاموش کنید راحت !

اینم پاسخ یه شخص انگلیسی زبان به شما

نقل قول:

first and foremost i want to say that this is not going to make your server 100% cracker proof, there is always a possibility that somebody will find a way in. I have listed a lot of things you can do to protect your server and that will help you secure it. While securing your server you have to find a median between what is secure and what restricts your clients or websites. you can easily make your server 100% secure from remote attacks by unplugging the ethernet cable, but chances are you will not get much good with it. this is not a complete guide and i will update it when i find time or it needs it. Overall it is a very good start and it is probably more then most servers have.

---------- Post added at 08:55 PM ---------- Previous post was at 08:46 PM ----------

این همه رو بن کردم تا الان
خسته شدم :((

نقل قول:

217.218.227.17
217.219.188.229
80.191.138.131
212.50.233.90
80.191.94.168
85.9.80.136
89.165.90.69
95.82.63.202
85.9.80.136
82.115.16.130
212.80.5.28
80.191.156.2

پاسخ : چجوری جلوی این حملاتو بگیرم syn (SYN_RECV) flood attacks

نقل قول:

first and foremost i want to say that this is not going to make your server 100% cracker proof, there is always a possibility that somebody will find a way in. I have listed a lot of things you can do to protect your server and that will help you secure it. While securing your server you have to find a median between what is secure and what restricts your clients or websites. You can easily make your server 100% secure from remote attacks by unplugging the ethernet cable, but chances are you will not get much good with it. This is not a complete guide and i will update it when i find time or it needs it. Overall it is a very good start and it is probably more then most servers have.

کمی گیج شدم
میشه خودتون خلاصه بگید یعنی چی؟

پاسخ : چجوری جلوی این حملاتو بگیرم syn (SYN_RECV) flood attacks

نقل قول:

You can easily make your server 100% secure from remote attacks by unplugging the ethernet cable, but chances are you will not get much good with it.

یعنی
شما می توانید سرورتون رو در مقابل حملات از راه دور با قطع کابل ethernet به صورت 100% امن کنید.ولی شانس زیادی برای گرفتن بهترین نتیجه رو نخواهید داشت.

بقیش دیگه بهحرف شما مربوط نمیشد
همونی که درشت کردمو مربوط میشد رو ترچمه کردم

پاسخ : چجوری جلوی این حملاتو بگیرم syn (SYN_RECV) flood attacks

هر وقت وقت داشتی لیستهای ساکس رو جمع کن از نت و بلوکشون کن یا اگه بازدید کننده ها از داخل کشور هستن فقط آی پی ایران رو اکسس بده + آی پی های گوگل بوت و ...

وب سرور رو لیمیت کن (کانکشن هاش رو)

پاسخ : چجوری جلوی این حملاتو بگیرم syn (SYN_RECV) flood attacks

کانکشن ها رو 1000 تا لیمیته
آخه این سایته روزی 7000 تا ویزیتشه نمیشه کمتر از این کرد

---------- Post added at 09:11 PM ---------- Previous post was at 09:09 PM ----------

همه ip های حمله کننده ماله ایرانه

پاسخ : چجوری جلوی این حملاتو بگیرم syn (SYN_RECV) flood attacks

نقل قول:

نوشته اصلی توسط woshka

کانکشن ها رو 1000 تا لیمیته
آخه این سایته روزی 7000 تا ویزیتشه نمیشه کمتر از این کرد

---------- post added at 09:11 pm ---------- previous post was at 09:09 pm ----------

همه ip های حمله کننده ماله ایرانه

اسم سایت رو پ ن کن

1000 تا زیاده کمش کن

ایران باشه که راحتتره که

پاسخ : چجوری جلوی این حملاتو بگیرم syn (SYN_RECV) flood attacks

نتیجه بعد از بن کردن دستیه اینهمه ip
تمومی ندارن :((

نقل قول:

217.218.227.17
217.219.188.229
80.191.138.131
212.50.233.90
80.191.94.168
85.9.80.136
89.165.90.69
95.82.63.202
85.9.80.136
82.115.16.130
212.80.5.28
80.191.156.2
213.207.221.10
217.219.139.72
84.47.241.145
77.77.72.141
82.115.24.160
82.115.19.81
212.120.200.83
212.80.3.44
217.11.27.248
95.38.72.45
217.11.27.248
212.80.3.44
85.9.124.81
87.248.130.218
78.39.197.20
80.66.180.38

نقل قول:

root@box01 [~]# netstat -an|grep SYN_RECV
tcp 0 0 74.81.90.77:80 78.38.144.95:2748 SYN_RECV
tcp 0 0 74.81.90.77:80 78.38.144.95:2744 SYN_RECV
tcp 0 0 74.81.90.77:80 78.38.144.95:2745 SYN_RECV
tcp 0 0 74.81.90.77:80 85.185.94.203:1108 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.168.115:31363 SYN_RECV
tcp 0 0 74.81.90.77:80 85.185.94.203:1107 SYN_RECV
tcp 0 0 74.81.90.77:80 89.144.166.194:1299 SYN_RECV
tcp 0 0 74.81.90.77:80 78.38.144.95:2747 SYN_RECV
tcp 0 0 74.81.90.77:80 78.39.198.25:1695 SYN_RECV
tcp 0 0 74.81.90.77:80 85.185.94.203:1105 SYN_RECV
tcp 0 0 74.81.90.77:80 78.39.198.25:1687 SYN_RECV
tcp 0 0 74.81.90.77:80 95.38.24.254:2886 SYN_RECV
tcp 0 0 74.81.90.77:80 82.99.229.247:1085 SYN_RECV
tcp 0 0 74.81.90.77:80 85.185.94.203:1109 SYN_RECV
tcp 0 0 74.81.90.77:80 85.185.94.203:1106 SYN_RECV
tcp 0 0 74.81.90.77:80 77.77.92.47:2530 SYN_RECV
tcp 0 0 74.81.90.77:80 82.115.24.94:1436 SYN_RECV
tcp 0 0 74.81.90.77:80 217.218.40.242:33547 SYN_RECV
tcp 0 0 74.81.90.77:80 88.89.145.241:19728 SYN_RECV
tcp 0 0 74.81.90.77:80 213.217.40.100:21990 SYN_RECV
tcp 0 0 74.81.90.77:80 82.99.201.219:25924 SYN_RECV
root@box01 [~]#

---------- Post added at 09:19 PM ---------- Previous post was at 09:17 PM ----------

نقل قول:

نوشته اصلی توسط packsaft

اسم سایت رو پ ن کن

1000 تا زیاده کمش کن

ایران باشه که راحتتره که

خیلی ساده ip ری***ت شده رو بزن :)

---------- Post added at 09:34 PM ---------- Previous post was at 09:19 PM ----------

اگه الان پست داده بودم یه هاست با این قیمت می خوام تا صفحه 5 ، 6 یا حتی بیشتر میکشید
یعنی شما فقط تو آفر و فروش کیفیت دارید؟
خارج از اون هیچی؟

برنامه ای که جلوی اینجور حملاتو بگیره سراع ندارید؟

پاسخ : چجوری جلوی این حملاتو بگیرم syn (SYN_RECV) flood attacks

نقل قول:

برنامه ای که جلوی اینجور حملاتو بگیره سراع ندارید؟

نه !
بن نکنید چون واقعا نداریم دیگه !
پیشنهاد من ول کردن هاستینگ هست.(شوخی گفتم الان اعصابتون خورد هست کمی بخندید)

پاسخ : چجوری جلوی این حملاتو بگیرم syn (SYN_RECV) flood attacks

نقل قول:

بن نکنید چون واقعا نداریم دیگه !

منطورت چیرو بن نکنم و چیو دیگه ندارید؟

من یه 20 تا ]ح شایدم بیشتر بلاک کردم وضعیت خوبه ولی باز هم هی در حال زیاد شدنن :((

---------- Post added at 09:54 PM ---------- Previous post was at 09:50 PM ----------

بازم مثل همیشه دست به دامن فروم های خارجی انگلیسی زبان شدم

نقل قول:

Re: SYN attack, Unknown requests – Unknown IP Ranges – Not able to stop – Help us!
« Reply #10 on: August 07, 2009, 12:37:53 PM »
CSF helps in those cases

csf چجوری این کارو میکنه؟

---------- Post added at 09:55 PM ---------- Previous post was at 09:54 PM ----------

یه جا دیگه هم

نقل قول:

this is syn attack if yo can install csf & lfd you can block this attack.

چجوری با csf میشه کاری کرد؟

پاسخ : چجوری جلوی این حملاتو بگیرم syn (SYN_RECV) flood attacks

یه نفر حرفه ای میگفت برا این نوع حمله راهی جز بلوک آی پی نیست

پاسخ : چجوری جلوی این حملاتو بگیرم syn (SYN_RECV) flood attacks

نموده شدم از بس بن کردم :((

نقل قول:

root@box01 [~]# netstat -nt | grep ':80 ' | awk '{print $6}' | sort | uniq -c
5 closing
144 established
87 fin_wait1
37 fin_wait2
11 last_ack
12 syn_recv
149 time_wait
root@box01 [~]#

پاسخ : چجوری جلوی این حملاتو بگیرم syn (SYN_RECV) flood attacks

نقل قول:

همه ip های حمله کننده ماله ایرانه

مطمئنید حملست ؟
چون امید 20 بازدیدش بالاستا !!!

رنک 33 هزار کم حرفی نیستا.
omid20.info - Site Info from Alexa

وب هاستینگ تالک 15 هزار ـه ...

---------- Post added at 10:37 PM ---------- Previous post was at 10:35 PM ----------

من یه سایتی با رنک 25 هزار رو سرورم بود، کانکشنا رو 2000 گذاشته بودم بازم کمش بود. لود سرور سر به فلک میکشید. بردمش رو یه سرور دیگه اوضاع به روال سابق برگشت :d

پاسخ : چجوری جلوی این حملاتو بگیرم syn (SYN_RECV) flood attacks

محمد جان فعلا باید کمش کنه برا الان زیاده بعدا برش میگردونه حالت قبلیش

پاسخ : چجوری جلوی این حملاتو بگیرم syn (SYN_RECV) flood attacks

نقل قول:

نوشته اصلی توسط packsaft

محمد جان فعلا باید کمش کنه برا الان زیاده بعدا برش میگردونه حالت قبلیش

اینا که پشت سر هم تکرار میشه احتمال زیاد دارن دانلود میکنن.
به هیچ وجه دی داس نیست ...

اگه کسی بخواد دی داس کنه با ایران نمیزنه که !!!

پاسخ : چجوری جلوی این حملاتو بگیرم syn (SYN_RECV) flood attacks

آخه یه مثئله ای هست
این ip ها از 3 روز پیش تا الان همینان که SYN_RECV بسیار بالایی دارند
یعنی 3 روزه دارند دانلودمی کنن؟؟
لود این سرور هم با وجود اینهمه بازدید همیشه در بدترین شرایط 1 بود
الان هم لودرو 0.7 یهو آپاچی کم میاره و هنگ میکنه
دادم سی پنل هم بررسی کرد
گفت کاملا مشخصه که حمله از اون ip هاست
البته حمله قابل قبوله
این پست ها از 2 روز پیشش خیلی دیگه نفوذیه p-:

این ها هم ip هایی که بیشتر از 4 تا SYN_RECV داشتن که 2 ساعت طول کسید تا بن کنم :(

95.38.24.254
217.218.227.17
217.219.188.229
80.191.138.131
212.50.233.90
80.191.94.168
85.9.80.136
89.165.90.69
95.82.63.202
85.9.80.136
82.115.16.130
212.80.5.28
80.191.156.2
213.207.221.10
217.219.139.72
84.47.241.145
77.77.72.141
82.115.24.160
82.115.19.81
212.120.200.83
212.80.3.44
217.11.27.248
95.38.72.45
217.11.27.248
212.80.3.44
85.9.124.81
87.248.130.218
78.39.197.20
80.66.180.38
78.38.144.95
93.126.14.36
89.144.171.96
217.218.180.208
78.38.111.4
95.38.6.238
217.219.197.100
85.9.124.84
89.165.80.154
217.218.194.218
85.9.124.84
89.144.145.250
89.144.150.173
62.141.53.224
85.185.37.182
192.168.50.96
89.122.154.250
79.127.7.13
92.242.208.81
85.9.112.77
80.191.229.157
92.50.19.118
82.115.31.65
85.185.37.181
80.191.97.3
85.185.37.181
85.185.37.181
212.120.218.211
188.158.146.53
94.183.141.61

پاسخ : چجوری جلوی این حملاتو بگیرم syn (SYN_RECV) flood attacks

اینترنت یکیشون داده پرداز هست و کلاینت هست

پاسخ : چجوری جلوی این حملاتو بگیرم syn (SYN_RECV) flood attacks

آخه لیست آی پی هات خیلی خیلی زیاده.
اگه دی داس باشه از یه جا - 2 جا - 10 جا میزنن نه از شونصد جا :d
البته یه احتمال هم وجود داره: برادران ارزشی (عرزشی/عرضشی/ارضشی) آی فریم مخفی گذاشته باشن تو سایتهای مفیدشون و باعث شده آی پی فیک زیاد بیاد. همون کاری که چند ماه پیش (قبل انتخابات) با سایتهای مخالفشون انجام دادن)

پاسخ : چجوری جلوی این حملاتو بگیرم syn (SYN_RECV) flood attacks

In looking at the number of connections on the server, and the number of IP addresses that are sending SYN to Apache without making a complete connection, I have to agree with Danielle's assessment of the situation, and I would suggest blocking these IP addresses to see if that resolves the issue you're experiencing.

---------- Post added at 12:37 AM ---------- Previous post was at 12:08 AM ----------

سوال و جواب من در همین خصوص

نقل قول:

first please accept my excuse but i wanted to know wether my apache maybe not optimized as far as i am sure thatt i have config it properly
it has resolved it by banning the sync ips that had more than 3 sample of those ips
but i am afraid these ips are real clients or not
one of my friends told me that one of them that i checked seems to be client ip addres

i have blocked the following

greetings,

it's quite alright, i just wanted to let you know that it's most efficient for us to be able to get the entire picture, especially if an issue has been discussed previously with other analysts.

It should be noted that syn_recv itself will occur with any connection to apache -- it's the syns that don't complete in a timely fashion that appear suspicious.

Here's a bash command you may find useful. It will list all ip addresses that are connecting to the server, but haven't completed a syn in 5 seconds:

(netstat -an | grep syn_recv; sleep 5; netstat -an | grep syn_recv) | awk '{print $5}' | sort | uniq -c | sort -n | awk '$1 > 1 { print $2 }' | awk -f: '{print $1}' | sort | uniq

the ip addresses may not be doing anything malicious, but it's worth investigating if you continue to see any issues. I don't see the current maxclients setting as being involved in any issues, but then again, i haven't seen this issue occur in real-time. It might be helpful if you re-open this ticket the next time that apache is completely down, and let us investigate the issue as it's happening.

پاسخ : چجوری جلوی این حملاتو بگیرم syn (SYN_RECV) flood attacks

این حمله syn flood هست که خیلی ناجور هم هست.در حقیقت یه handshaking ناقص انجام میده.بن کردن ip فایده نداره.با توجه به اینکه میگین ip ها ایرانی هم هستن در حقیقت دارین سایت رو از دسترس ایرانی ها خارج میکنین.حمله هم با ip های fake داره انجام میشه (اینجور به نظر میاد)چون از 1000 تا ip که یدفعه dos صورت نمیگیره.مگه در حالنی که با pr0-x-y صورت بگیره که این همه p-r0;x-y با ip ایران کجا پیدا میشه ؟؟!!

1 فایل پیوست

پاسخ : چجوری جلوی این حملاتو بگیرم syn (SYN_RECV) flood attacks

نقل قول:

کجا پیدا میشه ؟؟!!

پیدا میشه !! دلیلش هم عدم داشتن اطلاعات کافی مدیران شبکه ادارات و بعضی موسساته !

اینم گراف 5 دقیقه روتر میکروتیک با 18 مگ پهنای باند ! البته الان استفاده بالایی نداره :"> دسترسی به پنلش هم موجود می باشد. ! :D

پروکسی هم به خدمت شون اضافه شده ! :d

پاسخ : چجوری جلوی این حملاتو بگیرم syn (SYN_RECV) flood attacks

من از هرکی پرسیدم گفتش باید دیتاسنتر برات یه کارای انجام بده
درسته ؟
در ضمن من که تو تاپیکم نو حمله رو syn_recv flood attack زدم
تشخیص بیماری خودش یه مهارته
:)
حالا راحی برای مقابلش نمیشناسید؟

ممنون

پاسخ : چجوری جلوی این حملاتو بگیرم syn (SYN_RECV) flood attacks

نقل قول:

نوشته اصلی توسط Woshka

جلوی این ها رو چجوری بگیرم
csf نصبه ولی هیچ غلطی نمیکنه:((
:-ss

tcp 0 0 74.81.90.77:80 80.191.138.131:54662 SYN_RECV

جریان چیه ؟
آی پی ای که داره Attack میکنه ، به اسم دانشگاه کاشان هست !:d
Whois record for 80.191.138.131

پاسخ : چجوری جلوی این حملاتو بگیرم syn (SYN_RECV) flood attacks

وشکا جون به نظرم برو دانشگاه کاشان بزن درب و داعونشون کن

پاسخ : چجوری جلوی این حملاتو بگیرم syn (SYN_RECV) flood attacks

:))
تازه اینکه چیزی نیست
یه بار whois گرفتم دیدم زده مرکز بهداستی درمانی گناون همچین جایی :))

اینها همه جا نفوز دارند
:(

---------- Post added at 01:26 PM ---------- Previous post was at 01:22 PM ----------

ببا این بلاک کردنا ویزیت دیروز 2000 تا شد
پریروز 7000 تا بوده
یعنی 5000 تا کاهش p-:

---------- Post added at 01:38 PM ---------- Previous post was at 01:26 PM ----------

دوباره حمله :(

نقل قول:

root@box01 [~]# netstat -an|grep SYN_RECV
tcp 0 0 74.81.90.77:80 95.38.24.254:1200 SYN_RECV
tcp 0 0 74.81.90.66:80 213.217.40.136:55677 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.193.3:1303 SYN_RECV
tcp 0 0 74.81.90.73:80 91.75.24.3:34748 SYN_RECV
tcp 0 0 74.81.90.77:80 217.218.209.34:12663 SYN_RECV
tcp 0 0 74.81.90.66:80 93.158.151.24:57468 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.97.160:1067 SYN_RECV
tcp 0 0 74.81.90.77:80 65.49.14.10:45540 SYN_RECV
tcp 0 0 74.81.90.77:80 78.39.246.4:11427 SYN_RECV
tcp 0 0 74.81.90.77:80 91.186.212.14:61466 SYN_RECV
tcp 0 0 74.81.90.77:80 188.136.142.7:56833 SYN_RECV
tcp 0 0 74.81.90.77:80 212.16.89.147:59788 SYN_RECV
tcp 0 0 74.81.90.77:80 79.127.122.10:3277 SYN_RECV
tcp 0 0 74.81.90.77:80 91.186.212.14:61508 SYN_RECV
tcp 0 0 74.81.90.77:80 78.39.198.25:4343 SYN_RECV
tcp 0 0 74.81.90.73:80 91.75.24.3:37111 SYN_RECV
tcp 0 0 74.81.90.77:80 217.219.47.12:3402 SYN_RECV
tcp 0 0 74.81.90.77:80 78.39.198.25:4324 SYN_RECV
tcp 0 0 74.81.90.77:80 217.219.47.12:4444 SYN_RECV
tcp 0 0 74.81.90.77:80 78.39.198.25:4339 SYN_RECV
tcp 0 0 74.81.90.77:80 78.39.69.192:2479 SYN_RECV
tcp 0 0 74.81.90.77:80 86.96.228.86:9442 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.97.160:1041 SYN_RECV
tcp 0 0 74.81.90.77:80 217.219.47.12:3151 SYN_RECV
tcp 0 0 74.81.90.66:80 82.99.201.219:7372 SYN_RECV
tcp 0 0 74.81.90.77:80 85.185.238.162:61664 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.94.149:1361 SYN_RECV
tcp 0 0 74.81.90.77:80 92.50.19.81:4677 SYN_RECV
tcp 0 0 74.81.90.77:80 217.218.209.34:10772 SYN_RECV
tcp 0 0 74.81.90.77:80 95.38.24.254:1201 SYN_RECV
tcp 0 0 74.81.90.77:80 95.38.24.254:1191 SYN_RECV
tcp 0 0 74.81.90.74:80 213.207.216.224:49968 SYN_RECV
tcp 0 0 74.81.90.73:80 80.191.156.2:39827 SYN_RECV
tcp 0 0 74.81.90.77:80 217.219.47.12:2883 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.123.192:48353 SYN_RECV
tcp 0 0 74.81.90.77:80 94.182.236.5:55576 SYN_RECV
tcp 0 0 74.81.90.77:80 85.9.123.56:2226 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.123.192:39662 SYN_RECV
tcp 0 0 74.81.90.77:80 91.186.212.14:52984 SYN_RECV
tcp 0 0 74.81.90.77:80 78.157.59.226:60379 SYN_RECV
tcp 0 0 74.81.90.77:80 78.39.194.41:26819 SYN_RECV
tcp 0 0 74.81.90.77:80 213.217.40.100:18987 SYN_RECV
tcp 0 0 74.81.90.77:80 77.237.178.34:7117 SYN_RECV
tcp 0 0 74.81.90.77:80 78.39.69.192:2427 SYN_RECV
tcp 0 0 74.81.90.77:80 78.39.194.41:30527 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49239 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49214 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49222 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49217 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49229 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49242 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49224 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49219 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49221 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49216 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49218 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49220 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49227 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49235 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49233 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49249 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49248 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49234 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49215 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49223 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49237 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49226 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49230 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49243 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49238 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49228 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49231 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49250 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49232 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49246 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49245 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49247 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49240 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49251 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49252 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49225 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49253 SYN_RECV

---------- Post added at 01:38 PM ---------- Previous post was at 01:38 PM ----------

دوباره حمله :(

نقل قول:

root@box01 [~]# netstat -an|grep SYN_RECV
tcp 0 0 74.81.90.77:80 95.38.24.254:1200 SYN_RECV
tcp 0 0 74.81.90.66:80 213.217.40.136:55677 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.193.3:1303 SYN_RECV
tcp 0 0 74.81.90.73:80 91.75.24.3:34748 SYN_RECV
tcp 0 0 74.81.90.77:80 217.218.209.34:12663 SYN_RECV
tcp 0 0 74.81.90.66:80 93.158.151.24:57468 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.97.160:1067 SYN_RECV
tcp 0 0 74.81.90.77:80 65.49.14.10:45540 SYN_RECV
tcp 0 0 74.81.90.77:80 78.39.246.4:11427 SYN_RECV
tcp 0 0 74.81.90.77:80 91.186.212.14:61466 SYN_RECV
tcp 0 0 74.81.90.77:80 188.136.142.7:56833 SYN_RECV
tcp 0 0 74.81.90.77:80 212.16.89.147:59788 SYN_RECV
tcp 0 0 74.81.90.77:80 79.127.122.10:3277 SYN_RECV
tcp 0 0 74.81.90.77:80 91.186.212.14:61508 SYN_RECV
tcp 0 0 74.81.90.77:80 78.39.198.25:4343 SYN_RECV
tcp 0 0 74.81.90.73:80 91.75.24.3:37111 SYN_RECV
tcp 0 0 74.81.90.77:80 217.219.47.12:3402 SYN_RECV
tcp 0 0 74.81.90.77:80 78.39.198.25:4324 SYN_RECV
tcp 0 0 74.81.90.77:80 217.219.47.12:4444 SYN_RECV
tcp 0 0 74.81.90.77:80 78.39.198.25:4339 SYN_RECV
tcp 0 0 74.81.90.77:80 78.39.69.192:2479 SYN_RECV
tcp 0 0 74.81.90.77:80 86.96.228.86:9442 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.97.160:1041 SYN_RECV
tcp 0 0 74.81.90.77:80 217.219.47.12:3151 SYN_RECV
tcp 0 0 74.81.90.66:80 82.99.201.219:7372 SYN_RECV
tcp 0 0 74.81.90.77:80 85.185.238.162:61664 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.94.149:1361 SYN_RECV
tcp 0 0 74.81.90.77:80 92.50.19.81:4677 SYN_RECV
tcp 0 0 74.81.90.77:80 217.218.209.34:10772 SYN_RECV
tcp 0 0 74.81.90.77:80 95.38.24.254:1201 SYN_RECV
tcp 0 0 74.81.90.77:80 95.38.24.254:1191 SYN_RECV
tcp 0 0 74.81.90.74:80 213.207.216.224:49968 SYN_RECV
tcp 0 0 74.81.90.73:80 80.191.156.2:39827 SYN_RECV
tcp 0 0 74.81.90.77:80 217.219.47.12:2883 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.123.192:48353 SYN_RECV
tcp 0 0 74.81.90.77:80 94.182.236.5:55576 SYN_RECV
tcp 0 0 74.81.90.77:80 85.9.123.56:2226 SYN_RECV
tcp 0 0 74.81.90.77:80 80.191.123.192:39662 SYN_RECV
tcp 0 0 74.81.90.77:80 91.186.212.14:52984 SYN_RECV
tcp 0 0 74.81.90.77:80 78.157.59.226:60379 SYN_RECV
tcp 0 0 74.81.90.77:80 78.39.194.41:26819 SYN_RECV
tcp 0 0 74.81.90.77:80 213.217.40.100:18987 SYN_RECV
tcp 0 0 74.81.90.77:80 77.237.178.34:7117 SYN_RECV
tcp 0 0 74.81.90.77:80 78.39.69.192:2427 SYN_RECV
tcp 0 0 74.81.90.77:80 78.39.194.41:30527 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49239 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49214 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49222 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49217 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49229 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49242 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49224 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49219 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49221 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49216 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49218 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49220 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49227 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49235 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49233 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49249 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49248 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49234 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49215 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49223 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49237 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49226 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49230 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49243 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49238 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49228 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49231 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49250 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49232 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49246 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49245 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49247 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49240 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49251 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49252 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49225 SYN_RECV
tcp 0 0 127.0.0.1:443 127.0.0.1:49253 SYN_RECV

پاسخ : چجوری جلوی این حملاتو بگیرم syn (SYN_RECV) flood attacks

یکیشون هم پزشکی میخونه انگار کلاینت هم هست

شاید طرف هک کلاینت میکنه اینقدر آی پی دم دستشه

پاسخ : چجوری جلوی این حملاتو بگیرم syn (SYN_RECV) flood attacks

MaxSpareServers رو کردم 500
شاید واقعا حمله نباشه !!!

پاسخ : چجوری جلوی این حملاتو بگیرم syn (SYN_RECV) flood attacks

شاید گفته ممد هم درست باشه ها آی فریم بزارن

با فایل htaccess پهنای باند رو لیمیت کن به سایت خودت آی فریم از کار بیوفته ببین نتیجه چی میشه

پاسخ : چجوری جلوی این حملاتو بگیرم syn (SYN_RECV) flood attacks

بابا اينا حمله نيست. سايت پر بازديده ...
آي پي هاي وب هاستينگ تالك هم ببيني همچين وضعي داره.

پاسخ : چجوری جلوی این حملاتو بگیرم syn (SYN_RECV) flood attacks

آره حق با شما بود
مشکل در تنظیمات apache بود
تنظیم کردم درست شد
هیونی ها:((
دیروز بهشون امید نرسید همهشون خمار شدن :((

پاسخ : چجوری جلوی این حملاتو بگیرم syn (SYN_RECV) flood attacks

با سلام

شما میتونید از دستور های زیر استفاده کنید

iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j DROP
iptables -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j DROP
iptables -A INPUT -p tcp --tcp-flags ACK,URG URG -j DROP

برای بستن آی پی رنج : ip Rang

iptables -I INPUT -s 221.0.0.0/255.0.0.0 -j DROP
iptables -I INPUT -s 221.0.0.0/8 -j DROP

توجه : حتما بعد از زدین این دستورات این دستور رو وارد کنید

service iptables restart

با تشکر :67: