ada yang tau cara handle serangan SYN Flood ?

Discussion in 'Masalah Teknik dan Keamanan' started by hostingceria, 24 Aug 2009.

Thread Status:
Not open for further replies.
  1. hostingceria

    hostingceria Expert 1.0 Web Hosting

    Messages:
    673
    Likes Received:
    50
    Trophy Points:
    28
    salah satu server saya kena serangan syn flood dan membuat apachenya overload sampai mentok & tidak bisa memproses http request dengan benar meskipun WHM masih jalan.

    sudah coba atasi dengan proteksi syn flood di CSF tapi akibatnya traffic yang real juga kena dampak sehingga aksesnya sangat lambat :(

    makasih sebelumnya
     
  2. nicosoftmedia

    nicosoftmedia (RIP) Community Guide

    Messages:
    2,025
    Likes Received:
    34
    Trophy Points:
    48
    Pake CSF bisa kok, settingnya di SYN/FLOOD

    Default
    SYNFLOOD = 0
    SYNFLOOD_RATE = 100/s
    SYNFLOOD_BURST = 150

    Set menjadi
    SYNFLOOD = 1
    SYNFLOOD_RATE = 50/s
    SYNFLOOD_BURST = 80
     
  3. hostingceria

    hostingceria Expert 1.0 Web Hosting

    Messages:
    673
    Likes Received:
    50
    Trophy Points:
    28
    sudah saya coba, tapi seperti yang saya tulis di atas, legitimate traffic jadi ikut2an kefilter :(

    ini akhirnya sementara setup server lain & pindahin + ganti IP, nanti harus cari datacenter yang khusus bisa nanganin ddos model beginian lagi nih, rencananya mau pindah ke gigenet
     
  4. nicosoftmedia

    nicosoftmedia (RIP) Community Guide

    Messages:
    2,025
    Likes Received:
    34
    Trophy Points:
    48
    Di server saya nggak ada masalah tuh :)
     
  5. PusatHosting

    PusatHosting Hosting Guru Web Hosting

    Messages:
    3,337
    Likes Received:
    326
    Trophy Points:
    83
    saya kira bisa pakai ddos deflate http://deflate.medialayer.com/ cuman bawaan dia adalah APF tapi alternatifnya bisa pakai iptable kalau pakai CSF.

    deteksi dia berdasarkan nilai dari
    saya coba trial SYN Flood dan ga jelek2 amat hasilnya, cuman mungkin ya... jika SYN Floodnya datang dari 1 subnet sedangkan ddos deflate dijadwalkan jalan di cron setiap 1 menit, Nah cepet mana bisa jadi libih cepat SYN flood menghabisi server sebelum eksekusi ddos deflate sesuai putaran cron. karena saya tadi coba sebelum putaran cron server sudah melambat duluan.

    CMIIW
     
  6. nicosoftmedia

    nicosoftmedia (RIP) Community Guide

    Messages:
    2,025
    Likes Received:
    34
    Trophy Points:
    48
    Nobody_check sebenarnya juga bisa diperuntukkan untuk pengaman dari syn flood
     
  7. PusatHosting

    PusatHosting Hosting Guru Web Hosting

    Messages:
    3,337
    Likes Received:
    326
    Trophy Points:
    83
    Kira2 CSF deteksinya berdasarkan apa ya...? kalau pakai netstat kira2 scriptnya spt apa?

    jika di ddos deflate ada setting dibawah ini
    NO_OF_CONNECTIONS=150 ( default)
    yang menandakan maksimal request per IP

    kalau CSF apa benar konfigurasi dibawah ini menandakan maksimal nilai request
    SYNFLOOD_BURST = 80

    nah bisa jadi jika traffik yang harusnya bukan Flood tetapi dianggap Flood karena kita setting konfigurasi tersebut diatas dengan nilai terlalu kecil.

    karena jelas jika nilai ddos deflate NO_OF_CONNECTIONS=150 saya kecilkan menjadi 80 maka traffik yang harusnya dari sumber yang benar bisa dianggap sebagai Flood.

    CMIIW
     
  8. PusatHosting

    PusatHosting Hosting Guru Web Hosting

    Messages:
    3,337
    Likes Received:
    326
    Trophy Points:
    83
    nah ini, ohh ternyata bisa juga ya boss... coba ah.
     
  9. nicosoftmedia

    nicosoftmedia (RIP) Community Guide

    Messages:
    2,025
    Likes Received:
    34
    Trophy Points:
    48
    yup, maksudnya tidak ada laporan mengenai legitimate traffic, bro.
    yang kena adalah yang benar2 ngeflood :D.
     
  10. PusatHosting

    PusatHosting Hosting Guru Web Hosting

    Messages:
    3,337
    Likes Received:
    326
    Trophy Points:
    83
    pertanyaannya lagi? darimana kita bisa tahu kalau itu bener2 flooding traffik dan bukan Good traffik?

    hehe maaf ya jadi ikut-ikutan tanya saya :D
     
Loading...
Thread Status:
Not open for further replies.

Share This Page

Loading...