ada yang tau cara handle serangan SYN Flood ?


Status
Not open for further replies.

hostingceria

Expert 1.0
salah satu server saya kena serangan syn flood dan membuat apachenya overload sampai mentok & tidak bisa memproses http request dengan benar meskipun WHM masih jalan.

sudah coba atasi dengan proteksi syn flood di CSF tapi akibatnya traffic yang real juga kena dampak sehingga aksesnya sangat lambat :(

makasih sebelumnya
 

nicosoftmedia

(RIP) Community Guide
Pake CSF bisa kok, settingnya di SYN/FLOOD

Default
SYNFLOOD = 0
SYNFLOOD_RATE = 100/s
SYNFLOOD_BURST = 150

Set menjadi
SYNFLOOD = 1
SYNFLOOD_RATE = 50/s
SYNFLOOD_BURST = 80
 

hostingceria

Expert 1.0
Pake CSF bisa kok, settingnya di SYN/FLOOD

Default
SYNFLOOD = 0
SYNFLOOD_RATE = 100/s
SYNFLOOD_BURST = 150

Set menjadi
SYNFLOOD = 1
SYNFLOOD_RATE = 50/s
SYNFLOOD_BURST = 80
sudah saya coba, tapi seperti yang saya tulis di atas, legitimate traffic jadi ikut2an kefilter :(

ini akhirnya sementara setup server lain & pindahin + ganti IP, nanti harus cari datacenter yang khusus bisa nanganin ddos model beginian lagi nih, rencananya mau pindah ke gigenet
 

PusatHosting

Hosting Guru
saya kira bisa pakai ddos deflate http://deflate.medialayer.com/ cuman bawaan dia adalah APF tapi alternatifnya bisa pakai iptable kalau pakai CSF.

deteksi dia berdasarkan nilai dari
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
saya coba trial SYN Flood dan ga jelek2 amat hasilnya, cuman mungkin ya... jika SYN Floodnya datang dari 1 subnet sedangkan ddos deflate dijadwalkan jalan di cron setiap 1 menit, Nah cepet mana bisa jadi libih cepat SYN flood menghabisi server sebelum eksekusi ddos deflate sesuai putaran cron. karena saya tadi coba sebelum putaran cron server sudah melambat duluan.

CMIIW
 

PusatHosting

Hosting Guru
Di server saya nggak ada masalah tuh :)
Kira2 CSF deteksinya berdasarkan apa ya...? kalau pakai netstat kira2 scriptnya spt apa?

jika di ddos deflate ada setting dibawah ini
NO_OF_CONNECTIONS=150 ( default)
yang menandakan maksimal request per IP

kalau CSF apa benar konfigurasi dibawah ini menandakan maksimal nilai request
SYNFLOOD_BURST = 80

nah bisa jadi jika traffik yang harusnya bukan Flood tetapi dianggap Flood karena kita setting konfigurasi tersebut diatas dengan nilai terlalu kecil.

karena jelas jika nilai ddos deflate NO_OF_CONNECTIONS=150 saya kecilkan menjadi 80 maka traffik yang harusnya dari sumber yang benar bisa dianggap sebagai Flood.

CMIIW
 

nicosoftmedia

(RIP) Community Guide
Kira2 CSF deteksinya berdasarkan apa ya...? kalau pakai netstat kira2 scriptnya spt apa?

jika di ddos deflate ada setting dibawah ini
NO_OF_CONNECTIONS=150 ( default)
yang menandakan maksimal request per IP

kalau CSF apa benar konfigurasi dibawah ini menandakan maksimal nilai request
SYNFLOOD_BURST = 80

nah bisa jadi jika traffik yang harusnya bukan Flood tetapi dianggap Flood karena kita setting konfigurasi tersebut diatas dengan nilai terlalu kecil.

karena jelas jika nilai ddos deflate NO_OF_CONNECTIONS=150 saya kecilkan menjadi 80 maka traffik yang harusnya dari sumber yang benar bisa dianggap sebagai Flood.

CMIIW
yup, maksudnya tidak ada laporan mengenai legitimate traffic, bro.
yang kena adalah yang benar2 ngeflood :D.
 
Status
Not open for further replies.

Top