ADSL модемы . Неделю-полторы назад начались жалобы от пользователей. В статистике сессии ACCT_TERMINATE_CAUSE 1 : User-Request
и куча сессий по 8-12 минут за небольшое время. И каждый раз снова разрыв-соединение. Сессии у каждого отдельно взятого пользователя примерно одинаковые по длительности. Стоит коммерческая версия биллинга.
На практике встречалось всякое. Начиная от замокших кабелей, заканчивая большой нагрузкой на сервера.В данном случае в снифе перед запросом на разрыв приходил честный LCP-Terminate. (pppoe использую)
Наконец привезли модем, на стенде ситуация проявилась. В логах получил
Код: Выделить всё
Sep 5 10:25:56 user alert kernel: Intrusion -> IN=ppp_0_1_50_1 OUT= MAC= SRC=109.72.72.100 DST=94.50.100.16 LEN=52 TOS=0x00 PREC=0x00 TTL=118 ID=17981 DF PROTO=TCP SPT=56020 DPT=51413 WINDOW=8192 RES=0x00 SYN URGP=0
Sep 5 10:35:57 user alert kernel: Intrusion -> IN=ppp_0_1_50_1 OUT= MAC= SRC=94.198.0.15 DST=94.50.100.16 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=56718 DF PROTO=TCP SPT=2089 DPT=51413 WINDOW=65535 RES=0x00 SYN URGP=0
Sep 5 10:45:57 user alert kernel: Intrusion -> IN=ppp_0_1_50_1 OUT= MAC= SRC=188.232.80.32 DST=94.50.100.16 LEN=52 TOS=0x00 PREC=0x00 TTL=114 ID=7507 DF PROTO=TCP SPT=50459 DPT=51413 WINDOW=8192 RES=0x00 SYN URGP=0
Sep 5 10:55:56 user alert kernel: Intrusion -> IN=ppp_0_1_50_1 OUT= MAC= SRC=80.240.209.158 DST=94.50.100.16 LEN=52 TOS=0x00 PREC=0x00 TTL=112 ID=10892 DF PROTO=TCP SPT=62502 DPT=51413 WINDOW=8192 RES=0x00 SYN URGP=0
Sep 5 11:05:57 user alert kernel: Intrusion -> IN=ppp_0_1_50_1 OUT= MAC= SRC=109.184.187.83 DST=94.50.100.16 LEN=48 TOS=0x00 PREC=0x00 TTL=118 ID=2910 DF PROTO=TCP SPT=60586 DPT=51413 WINDOW=8192 RES=0x00 SYN URGP=0
Sep 5 11:15:57 user alert kernel: Intrusion -> IN=ppp_0_1_50_1 OUT= MAC= SRC=78.36.169.111 DST=94.50.100.16 LEN=52 TOS=0x00 PREC=0x00 TTL=118 ID=9998 DF PROTO=TCP SPT=56750 DPT=51413 WINDOW=8192 RES=0x00 SYN URGP=0
Sep 5 11:25:57 user alert kernel: Intrusion -> IN=ppp_0_1_50_1 OUT= MAC= SRC=46.98.11.145 DST=94.50.100.16 LEN=64 TOS=0x00 PREC=0x00 TTL=51 ID=4055 DF PROTO=TCP SPT=58678 DPT=51413 WINDOW=65535 RES=0x00 SYN URGP=0
Sep 5 11:35:57 user alert kernel: Intrusion -> IN=ppp_0_1_50_1 OUT= MAC= SRC=94.50.199.242 DST=94.50.100.16 LEN=48 TOS=0x00 PREC=0x00 TTL=120 ID=6469 DF PROTO=TCP SPT=3084 DPT=51413 WINDOW=16384 RES=0x00 SYN URGP=0
Sep 5 11:45:57 user alert kernel: Intrusion -> IN=ppp_0_1_50_1 OUT= MAC= SRC=195.91.233.193 DST=94.50.100.16 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=23889 DF PROTO=TCP SPT=5900 DPT=51413 WINDOW=65535 RES=0x00 SYN URGP=0
Sep 5 11:55:57 user alert kernel: Intrusion -> IN=ppp_0_1_50_1 OUT= MAC= SRC=178.187.30.57 DST=94.50.100.16 LEN=60 TOS=0x00 PREC=0x00 TTL=55 ID=48866 DF PROTO=TCP SPT=52324 DPT=50870 WINDOW=11616 RES=0x00 SYN URGP=0
Sep 5 12:05:58 user alert kernel: Intrusion -> IN=ppp_0_1_50_1 OUT= MAC= SRC=193.238.132.13 DST=94.50.100.16 LEN=48 TOS=0x00 PREC=0x00 TTL=52 ID=26511 DF PROTO=TCP SPT=59360 DPT=51413 WINDOW=8192 RES=0x00 SYN URGP=0
Sep 5 12:15:56 user alert kernel: Intrusion -> IN=ppp_0_1_50_1 OUT= MAC= SRC=84.54.222.135 DST=94.50.100.16 LEN=48 TOS=0x00 PREC=0x00 TTL=115 ID=8982 DF PROTO=TCP SPT=57360 DPT=51413 WINDOW=8192 RES=0x00 SYN URGP=0
Sep 5 12:25:57 user alert kernel: Intrusion -> IN=ppp_0_1_50_1 OUT= MAC= SRC=109.86.22.79 DST=94.50.100.16 LEN=52 TOS=0x00 PREC=0x00 TTL=117 ID=19859 DF PROTO=TCP SPT=61503 DPT=51413 WINDOW=8192 RES=0x00 SYN URGP=0
А теперь вопрос. Каким образом не трогая CPE юзеров можно защитить их от SYN lood?