ada yang tau cara handle serangan SYN Flood ?


Status
Not open for further replies.
pertanyaannya lagi? darimana kita bisa tahu kalau itu bener2 flooding traffik dan bukan Good traffik?

hehe maaf ya jadi ikut-ikutan tanya saya :D

Ya, dari ddos monitoring. Ada banyak yang saya pakai. ada 4 jenis program yang serupa untuk monitoring traffic. :D
 
Ya, dari ddos monitoring. Ada banyak yang saya pakai. ada 4 jenis program yang serupa untuk monitoring traffic. :D

Nah kelihatannya memang perlu utek2 untuk cari sebenarnya script apa yang CSF gunakan untuk deteksi ini. ya barangkali aja bos sudah dapat kalau ddos deflate kan jelas dia pakai ini

netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
 
Nah kelihatannya memang perlu utek2 untuk cari sebenarnya script apa yang CSF gunakan untuk deteksi ini. ya barangkali aja bos sudah dapat kalau ddos deflate kan jelas dia pakai ini

pada dasarnya program2 yang saya pakai itu merujuknya kesana tapi ada tambahan (nggak tahu apa yang ditambah sehingga jadi ok hasil filternya) :D
 
kalau ddosnya yg berjenis brute force / dari beberapa IP saja rasanya proteksi2 diatas termasuk syn flood dari csf bisa bekerja dengan baik, tapi kasus saya agak berbeda dimana problemnya ini ada lebih dari 500 (kemungkinan 1000 lebih) koneksi bersamaan terus-menerus dan setiap koneksinya mempunnyai ip address berbeda, apa mungkin ini kombinasi syn flood + botnet?

agak aneh karena IP addressnya bisa banyak sekali variannya, misalnya awalan 117, 202, 69, 67, dll
 
kalau ddosnya yg berjenis brute force / dari beberapa IP saja rasanya proteksi2 diatas termasuk syn flood dari csf bisa bekerja dengan baik, tapi kasus saya agak berbeda dimana problemnya ini ada lebih dari 500 (kemungkinan 1000 lebih) koneksi bersamaan terus-menerus dan setiap koneksinya mempunnyai ip address berbeda, apa mungkin ini kombinasi syn flood + botnet?

agak aneh karena IP addressnya bisa banyak sekali variannya, misalnya awalan 117, 202, 69, 67, dll

Lacak dulu kemana IP tersebut mengakses. jika tidak wajar diblok aja dari CSF.
 
kalau ddosnya yg berjenis brute force / dari beberapa IP saja rasanya proteksi2 diatas termasuk syn flood dari csf bisa bekerja dengan baik, tapi kasus saya agak berbeda dimana problemnya ini ada lebih dari 500 (kemungkinan 1000 lebih) koneksi bersamaan terus-menerus dan setiap koneksinya mempunnyai ip address berbeda, apa mungkin ini kombinasi syn flood + botnet?

agak aneh karena IP addressnya bisa banyak sekali variannya, misalnya awalan 117, 202, 69, 67, dll

apa bos sudah coba pakai perintah ini
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

command tsb bisa menampilkan total nilai request / IP, dan kira2 brp total prosess apachenya ya... waktu serangan terjadi. 200 - 300 kah?

mungkin saja limit nilai MaxClient apache bisa diturunkan...

CMIIW
 
Status
Not open for further replies.
Back
Top