SYN Flood Saldırılarının Engellenmesi

Syn Flood saldırıları, genellikle Spoof IP"ler kullanılarak art arda çok sayıda isteğin bir noktaya gönderilmesi ile hedef sistemin yorularak yanıt verememesini amaçlayan art niyetli girişmelrdir. Bu tür girişimleri, eğer Linux tabanlı bir sunucu kullanıyorsanız kolaylıkla engelleyebilirsiniz. 

Eğer Flood saldırısı belli bir IP"den geliyor ise saldırgan IP adresini yasaklayarak sorunu hızla çözebilirsiniz. Genellikle bu tip saldırılar gerçek bir IP kullanılarak gerçekleştirilmez. Genellikle farklı ve sahte (Spoof) IP ler ile gelen istekleri tespit etmeniz zor olabilir. Aşağıdaki sh komutu ile anlık olarak bağlantı istatistiklerini görebilir ve saldırgan IP adreslerini tespit edebilirsiniz.  

Tcp hareketlerinizi incelemek için aşağıdaki komutu uygulayınız;

netstat -npt | awk "{print $5}" | grep -Eo "([0-9]{1,3}\.){3}[0-9]{1,3}" | cut -d: -f1 | sort | uniq -c | sort -nr | head

Bu komut ile sunucunuza anlık olarak en çok adette bağlantı gerçekleştiren ilk 10 IP adresini tespit edebilirsiniz. 

Elde ettiğiniz tespit neticesinde saldırgan olduğundan şüphelendiğiniz IP adreslerini aşağıdaki komut ile yasaklayabilirsiniz. 

Bu işlemin yanında IPTables aracılığıyla syn isteklerini limitleyebilir, böylelikle her bir IP için beher saniye başına yalnızca 1 adet syn isteği gönderilebilecek şekilde kısıtlayabilirsiniz. 

iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 3 -j RETURN


Bağlantı limitini "--limit 1/s" yazan kısmı saniye başına bağlantı adedini belirtecek şekilde saniye/s olarak tanımlayabilirsiniz.