ada yang tau cara handle serangan SYN Flood ?

[hostingceria]

salah satu server saya kena serangan syn flood dan membuat apachenya overload sampai mentok & tidak bisa memproses http request dengan benar meskipun WHM masih jalan.

sudah coba atasi dengan proteksi syn flood di CSF tapi akibatnya traffic yang real juga kena dampak sehingga aksesnya sangat lambat

makasih sebelumnya

 

[nicosoftmedia]

Pake CSF bisa kok, settingnya di SYN/FLOOD

Default
SYNFLOOD = 0
SYNFLOOD_RATE = 100/s
SYNFLOOD_BURST = 150

Set menjadi
SYNFLOOD = 1
SYNFLOOD_RATE = 50/s
SYNFLOOD_BURST = 80

 

[hostingceria]

Pake CSF bisa kok, settingnya di SYN/FLOOD

Default
SYNFLOOD = 0
SYNFLOOD_RATE = 100/s
SYNFLOOD_BURST = 150

Set menjadi
SYNFLOOD = 1
SYNFLOOD_RATE = 50/s
SYNFLOOD_BURST = 80

sudah saya coba, tapi seperti yang saya tulis di atas, legitimate traffic jadi ikut2an kefilter

ini akhirnya sementara setup server lain & pindahin + ganti IP, nanti harus cari datacenter yang khusus bisa nanganin ddos model beginian lagi nih, rencananya mau pindah ke gigenet

 

[nicosoftmedia]

Di server saya nggak ada masalah tuh

 

[PusatHosting]

saya kira bisa pakai ddos deflate http://deflate.medialayer.com/ cuman bawaan dia adalah APF tapi alternatifnya bisa pakai iptable kalau pakai CSF.

deteksi dia berdasarkan nilai dari

netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

saya coba trial SYN Flood dan ga jelek2 amat hasilnya, cuman mungkin ya... jika SYN Floodnya datang dari 1 subnet sedangkan ddos deflate dijadwalkan jalan di cron setiap 1 menit, Nah cepet mana bisa jadi libih cepat SYN flood menghabisi server sebelum eksekusi ddos deflate sesuai putaran cron. karena saya tadi coba sebelum putaran cron server sudah melambat duluan.

CMIIW

 

[nicosoftmedia]

Nobody_check sebenarnya juga bisa diperuntukkan untuk pengaman dari syn flood

 

[PusatHosting]

Di server saya nggak ada masalah tuh

Kira2 CSF deteksinya berdasarkan apa ya...? kalau pakai netstat kira2 scriptnya spt apa?

jika di ddos deflate ada setting dibawah ini
NO_OF_CONNECTIONS=150 ( default)
yang menandakan maksimal request per IP

kalau CSF apa benar konfigurasi dibawah ini menandakan maksimal nilai request
SYNFLOOD_BURST = 80

nah bisa jadi jika traffik yang harusnya bukan Flood tetapi dianggap Flood karena kita setting konfigurasi tersebut diatas dengan nilai terlalu kecil.

karena jelas jika nilai ddos deflate NO_OF_CONNECTIONS=150 saya kecilkan menjadi 80 maka traffik yang harusnya dari sumber yang benar bisa dianggap sebagai Flood.

CMIIW

 

[PusatHosting]

Nobody_check sebenarnya juga bisa diperuntukkan untuk pengaman dari syn flood

nah ini, ohh ternyata bisa juga ya boss... coba ah.

 

[nicosoftmedia]

Kira2 CSF deteksinya berdasarkan apa ya...? kalau pakai netstat kira2 scriptnya spt apa?

jika di ddos deflate ada setting dibawah ini
NO_OF_CONNECTIONS=150 ( default)
yang menandakan maksimal request per IP

kalau CSF apa benar konfigurasi dibawah ini menandakan maksimal nilai request
SYNFLOOD_BURST = 80

nah bisa jadi jika traffik yang harusnya bukan Flood tetapi dianggap Flood karena kita setting konfigurasi tersebut diatas dengan nilai terlalu kecil.

karena jelas jika nilai ddos deflate NO_OF_CONNECTIONS=150 saya kecilkan menjadi 80 maka traffik yang harusnya dari sumber yang benar bisa dianggap sebagai Flood.

CMIIW

yup, maksudnya tidak ada laporan mengenai legitimate traffic, bro.
yang kena adalah yang benar2 ngeflood .

 

[PusatHosting]

yup, maksudnya tidak ada laporan mengenai legitimate traffic, bro.
yang kena adalah yang benar2 ngeflood .

pertanyaannya lagi? darimana kita bisa tahu kalau itu bener2 flooding traffik dan bukan Good traffik?

hehe maaf ya jadi ikut-ikutan tanya saya