[plamo:25655] Re: ssh dos

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[plamo:25655] Re: ssh dos

From:Kaihei^Rastaman^Koyama

Date:Mon, 13 Jun 2005 17:07:10 +0900 (JST)

Subject: [plamo:25655] Re: ssh dos
From: Kaihei^Rastaman^Koyama <koyama@xxxxxxxxx>
Date: Mon, 13 Jun 2005 17:07:09 +0900

小山＠倉敷です。

それは Mon, 13 Jun 2005 15:53:36 +0900 (JST) 頃のことでした。
hayama@kmf.biglobe.ne.jp さんはおっしゃいました...

> iptables で
> iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT
> の代わりに
> iptables -A INPUT -p tcp --syn --destination-port 22 -m limit
>    --limit 1/m --limit-burst 1 -j ACCEPT
> 入れて置くと ssh の dos 攻撃から逃げられます。

いわゆる syn attack ですね。

こいつは client port を変えながら、syn を udp のごとく
たたきまくります。昨今の BroadBand 環境だと、tcpdump を
しても動体視力が良くないと見えないぐらい。

> OpenSSH には
>  MaxStartups 2:80:5
> と言う設定を付けられますが、動きが少し異なります。こちらは、自分も
> 犠牲になりますが iptables での設定ならば性急なアクセスだけを断りま
> す。

おそらくは ssh の port を狙う syn attack よりも
http をめがけてくる方が圧倒的に多いと思います。

# アクセスの閾値を明確に出来るサービスであれば、確かに
# iptables だけで防ぐ手法はありですね。

通常のアクセスもそれなりにあって、かつ激しく狙われだすと、
手前の HW を L7-SW などにするしか根本解決は中々無いです。

いわゆるアクセスの閾値だと、正規のアクセスがワンランク増えて
閾値越えちゃって障害...などの話はまあまあ聞きますかね。

手前の HW では、セションを覚えといて、一定時間反応無ければ
Server 側に RST を送るとか、SYN に ACK を代理応答し、ハンド
シェイクを確認してから渡す、などの機能を良く聞きます。

---
         _\|/_
         (o o)
 +----oOO-{_}-OOo--------------+
 |  Kaihei Koyama / KCT Corp.  |
 |  RastamanEngineer           |
 |  mailto:koyama@kct.co.jp    |
 |  http://www.kct.co.jp       |
 +-----------------------------+

Follow-Ups
: [plamo:25657] Re: ssh dos, 早間

References
: [plamo:25654] ssh dos, 早間

Prev by Date: [plamo:25654] ssh dos
Next by Date: [plamo:25656] ifconfig eth0 inet6
Previous by thread: [plamo:25654] ssh dos
Next by thread: [plamo:25657] Re: ssh dos
Index(es):
- Date
- Thread

[検索ページ] [メール一覧]
Plamo ML 公開システム