我有一台 Centos7 服务器,经过多年正常运行后,昨天它开始无法访问(我使用的服务器应用程序无法访问,SSH 连接超时等,但 ping 可以正常工作)。
昨天它无法连接,唯一的解决方法是停止它并重新启动它。但不到一个小时后,同样的事情又发生了。
经过一番研究,发现这可能是由于 SYN 洪水攻击造成的。
检查连接日志我发现有几次登录尝试,例如:
Jan 26 08:18:08 vsi-prod sshd[2691]: Invalid user aadil from 190.153.249.99 port 59598
Jan 26 08:18:08 vsi-prod sshd[2691]: input_userauth_request: invalid user aadil [preauth]
Jan 26 08:18:08 vsi-prod sshd[2691]: Received disconnect from 190.153.249.99 port 59598:11: Bye Bye [preauth]
Jan 26 08:18:08 vsi-prod sshd[2691]: Disconnected from 190.153.249.99 port 59598 [preauth]
Jan 26 08:18:12 vsi-prod sshd[2695]: Invalid user db2fenc2 from 143.110.241.56 port 54456
Jan 26 08:18:12 vsi-prod sshd[2695]: input_userauth_request: invalid user db2fenc2 [preauth]
Jan 26 08:18:13 vsi-prod sshd[2695]: Received disconnect from 143.110.241.56 port 54456:11: Bye Bye [preauth]
Jan 26 08:18:13 vsi-prod sshd[2695]: Disconnected from 143.110.241.56 port 54456 [preauth]
我禁用了端口 22,但问题仍然存在。此外,请求是针对应该关闭的端口(我仔细检查过)。
我尝试生成速率限制器,iptables但它没有起作用
sudo iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m hashlimit --hashlimit 5/minute --hashlimit-burst 5 --hashlimit-mode srcip --hashlimit-name ssh-limit -j ACCEPT
最后,我创建了 somaxconn 但问题仍然存在......
net.core.somaxconn = 1024
有没有关于如何修复它的建议?我需要做哪些设置/工具来避免这种情况?
答案1
(这应该是一条评论 - 但太长/评论没有格式化)
这是由于 SYN 洪水攻击造成的
你确定吗?你是如何确定的?你检查过吗?同步 Cookie是否已打开?
我看到有多次登录尝试
欢迎来到互联网。我猜你知道这些可能与 syn 洪水无关。请参阅有什么技巧可以应对“僵尸网络” sshd 登录失败率出奇的高?