# SYN Flood abwehr



## ulf123 (17. November 2008)

Hallo Leute ich hab da mal ne Frage

wenn ich bei meinem Server in die Bash tcpdump -ni eth0 eingebe hab ich eine risige liste an verbindungen 


```
19:42:34.260423 IP 217.227.31.123.2771 > 62.75.219.89.80: S 2821255258:2821255258(0) win 65535 <mss 1452,nop,wscale 0,nop,nop,sackOK>
19:42:34.260485 IP 88.70.249.139.3045 > 62.75.219.89.80: S 31846749:31846749(0) win 32767 <mss 1440,nop,nop,sackOK>
19:42:34.260492 IP 88.69.1.58.1618 > 62.75.219.89.80: S 3369366247:3369366247(0) win 65535 <mss 1452,nop,nop,sackOK>
19:42:34.260754 IP 62.226.165.130.64646 > 62.75.219.89.22: . ack 278872 win 65535
19:42:34.261088 IP 24.191.219.36.38039 > 62.75.219.89.3985: S 1660554455:1660554455(0) win 65535 <mss 1460,nop,nop,sackOK>
19:42:34.261358 IP 85.176.138.167.1496 > 62.75.219.89.80: S 2695541345:2695541345(0) win 65535 <mss 1440,nop,nop,sackOK>
19:42:34.261457 IP 82.46.14.97.41635 > 62.75.219.89.80: S 1213221323:1213221323(0) win 65535 <mss 1460,nop,nop,sackOK>
19:42:34.261594 IP 217.227.31.123.2772 > 62.75.219.89.80: S 1088265682:1088265682(0) win 65535 <mss 1452,nop,wscale 0,nop,nop,sackOK>
19:42:34.261836 IP 145.53.121.195.36183 > 62.75.219.89.80: S 1064235827:1064235827(0) win 65535 <mss 1460>
19:42:34.261843 IP 92.73.185.230.11572 > 62.75.219.89.712: S 1108743449:1108743449(0) win 65535 <mss 1452,nop,nop,sackOK>
19:42:34.262024 IP 91.96.200.128.62501 > 62.75.219.89.80: S 2981456278:2981456278(0) win 65535 <mss 1400,nop,nop,sackOK>
19:42:34.262090 IP 88.69.1.58.1619 > 62.75.219.89.80: S 1262050545:1262050545(0) win 65535 <mss 1452,nop,nop,sackOK>
19:42:34.262111 IP 97.106.75.142.2952 > 62.75.219.89.80: S 3576776880:3576776880(0) win 65535 <mss 1460,nop,nop,sackOK>
19:42:34.262524 IP 88.70.249.139.3046 > 62.75.219.89.80: S 2974328879:2974328879(0) win 32767 <mss 1440,nop,nop,sackOK>
19:42:34.262572 IP 85.176.138.167.1691 > 62.75.219.89.80: S 532852474:532852474(0) win 65535 <mss 1440,nop,nop,sackOK>
19:42:34.262644 IP 84.144.81.71.3425 > 62.75.219.89.712: S 3891011628:3891011628(0) win 65535 <mss 1440,nop,wscale 0,nop,nop,sackOK>
19:42:34.262933 IP 88.72.65.0.3612 > 62.75.219.89.80: S 3337666201:3337666201(0) win 32767 <mss 1440,nop,nop,sackOK>
19:42:34.263252 IP 217.227.31.123.2773 > 62.75.219.89.80: S 3870994394:3870994394(0) win 65535 <mss 1452,nop,wscale 0,nop,nop,sackOK>
19:42:34.263458 IP 62.226.165.130.64646 > 62.75.219.89.22: . ack 279792 win 64615
19:42:34.263532 IP 89.53.4.16.64044 > 62.75.219.89.712: S 120289930:120289930(0) win 65535 <mss 1408,nop,wscale 3,nop,nop,timestamp 0 0,nop,nop,sackOK>
19:42:34.264175 IP 88.69.1.58.1620 > 62.75.219.89.80: S 3152451298:3152451298(0) win 65535 <mss 1452,nop,nop,sackOK>
19:42:34.264399 IP 88.70.249.139.3047 > 62.75.219.89.80: S 105993370:105993370(0) win 32767 <mss 1440,nop,nop,sackOK>
19:42:34.264434 IP 217.227.31.123.2774 > 62.75.219.89.80: S 92775420:92775420(0) win 65535 <mss 1452,nop,wscale 0,nop,nop,sackOK>
19:42:34.265277 IP 85.176.138.167.1512 > 62.75.219.89.80: S 1768446507:1768446507(0) win 65535 <mss 1440,nop,nop,sackOK>
19:42:34.265310 IP 24.191.219.36.34963 > 62.75.219.89.3985: S 3908971249:3908971249(0) win 65535 <mss 1460,nop,nop,sackOK>
19:42:34.265491 IP 217.227.31.123.2775 > 62.75.219.89.80: S 1440025112:1440025112(0) win 65535 <mss 1452,nop,wscale 0,nop,nop,sackOK>
19:42:34.265632 IP 82.46.14.97.56762 > 62.75.219.89.80: S 3873216456:3873216456(0) win 65535 <mss 1460,nop,nop,sackOK>
19:42:34.265762 IP 92.73.185.230.12021 > 62.75.219.89.712: S 2952275733:2952275733(0) win 65535 <mss 1452,nop,nop,sackOK>
19:42:34.265805 IP 88.69.1.58.1621 > 62.75.219.89.80: S 2268743923:2268743923(0) win 65535 <mss 1452,nop,nop,sackOK>
19:42:34.266271 IP 88.70.249.139.3048 > 62.75.219.89.80: S 1897190684:1897190684(0) win 32767 <mss 1440,nop,nop,sackOK>
19:42:34.266323 IP 85.176.138.167.2205 > 62.75.219.89.80: S 1023260109:1023260109(0) win 65535 <mss 1440,nop,nop,sackOK>
19:42:34.266740 IP 92.73.185.230.12027 > 62.75.219.89.712: S 3827710609:3827710609(0) win 65535 <mss 1452,nop,nop,sackOK>
19:42:34.266898 IP 88.72.65.0.3613 > 62.75.219.89.80: S 192545878:192545878(0) win 32767 <mss 1440,nop,nop,sackOK>
19:42:34.267132 IP 217.227.31.123.2776 > 62.75.219.89.80: S 1693788517:1693788517(0) win 65535 <mss 1452,nop,wscale 0,nop,nop,sackOK>
19:42:34.267158 IP 62.226.165.130.64646 > 62.75.219.89.22: . ack 280712 win 65535
19:42:34.267465 IP 91.96.200.128.62740 > 62.75.219.89.80: S 3234959915:3234959915(0) win 65535 <mss 1400,nop,nop,sackOK>
19:42:34.267785 IP 85.176.138.167.3228 > 62.75.219.89.80: S 3733379552:3733379552(0) win 65535 <mss 1440,nop,nop,sackOK>
19:42:34.267879 IP 88.69.1.58.1622 > 62.75.219.89.80: S 271206812:271206812(0) win 65535 <mss 1452,nop,nop,sackOK>
19:42:34.268099 IP 88.70.249.139.3049 > 62.75.219.89.80: S 1231933571:1231933571(0) win 32767 <mss 1440,nop,nop,sackOK>
19:42:34.268503 IP 217.227.31.123.2777 > 62.75.219.89.80: S 1714334559:1714334559(0) win 65535 <mss 1452,nop,wscale 0,nop,nop,sackOK>
```


mir ist aufgefallen das viele IP´s Ständige Syn verbindungen starten... 

ich wollte mir jetzt ein Bash script schreiben was diese bei einer maximal Syn anzahl mittels IPtables Dropt.

so jetzt  meine Frage wie kann ich das am besten umsetzten... und macht das überhaupt sinn?

Schöne Grüße

Ulf


----------



## Bernd_$7121 (18. Dezember 2008)

Hallo ULF123,
wie ich aus deinem Beitrag schließe hast du etwas mit der IP Adresse 62.75.219.89 zu tun. Jetzt ist es so, dass bei einem unserer Kunden die lokale Firewall anspricht.
Die Meldung lautet:
OfficeScan has detected a firewall violation, a network virus, or both, or an outbreak has occured. Your computer is now blocked.
Date & Time                 Remote Host  Protocall Process Port
2008/12/18 07:44:36  62.75.219.89   TCP                         80
2008/12/18 07:44:42  62.75.219.89   TCP                         80
....
Das setzt sich so fort.

Kanns du dazu etwas schreiben?


----------



## ulf123 (18. Dezember 2008)

hi bitte melde dich mal bei mir pivat per PM oder per ICQ 283477496 oder per mail an admin@ulfcramme.de

ich hoffe wir kommen zu einer lösung.

danke


----------



## Dennis Wronka (19. Dezember 2008)

Ein kurzer Blick auf die IPs zeigt ja dass hier viele, viele Anfragen von einer Liste an IPs in kurzer Zeit auftrifft.
Wenn ich mir diese Eintraege ansehe:


> 19:42:34.260423 IP 217.227.31.123.2771 > 62.75.219.89.80: S 2821255258:2821255258(0) win 65535 <mss 1452,nop,wscale 0,nop,nop,sackOK>





> 19:42:34.261594 IP 217.227.31.123.2772 > 62.75.219.89.80: S 1088265682:1088265682(0) win 65535 <mss 1452,nop,wscale 0,nop,nop,sackOK>


Ist deutlich dass hier jeweils die selbe IP in kurzen Abstaenden zugreift, in diesem Falle auch auf den selben Port.

Ich hab gesehen dass hier nicht ausschliesslich Port 80 bearbeitet wird, war aber nun zu faul um zu checken ob je ein Host sich immer auf den gleichen Port konzentriert wie es im obigen Beispiel der Fall ist.

Jedenfalls kann man hier durchaus mit IPTables was reissen. Im Grunde sollte hier ein Portscan-Filter helfen, da ja auch bei einem Portscan viele SYN-Pakete von einem Host ankommen.

Im Moment bin ich nicht ganz sicher ob hier besser mit dem Limit-Modul oder dem Recent-Modul gearbeitet werden kann, beide duerften aber zum Erfolg fuehren koennen.


----------

