Page 1 of 1

Wieviel syn_recv pro IP

Posted: 29. Apr 2009 10:17
by syn_recv
Moin Leute...
also folgendes Thema steht bei mir an.
habn skript geschrieben, dass alle 5 minuten per cronjob nachschaut, welche IP wieviele syn_recv's am laufen hat.
nun lief das über Nacht und schau heute morgen rein und sehe dass da teilweise IP's mit 200 syn_recv's drin stehen (mehrmals die selbe IP) also gehe ich davon aus, dass das nen Angriff war.
Aber meine Frage ist eigentlich, was habt ihr für erfahrungswerte wieviele syn_recv eine IP offen haben können ohne dass es nen Angriff ist?

grüße aus halle

Posted: 29. Apr 2009 10:23
by hjb
Hi!

Es gibt keine Richtwerte. Vergleiche doch einfach mit einem identisch eingerichteten internen Rechner, bei dem man Angriffe ausschließen kann.

Grüße,
hjb

Posted: 29. Apr 2009 10:41
by syn_recv
hi hjb,

danke für die schnelle antwort - leider wird mein lokaler rechner keinen guten vergleich darstellen, da der angesprochene fall ein server im produktiven einsatz ist.
ich weiß, ich sollte syncookies aktivieren - wird auch getan. aber das ist aktuell wirklich nicht mein anliegen. jedenfalls hatte ich werte, rellativ gleichmäßig durchgehend, von 1 bis 80 syn_recv pro ip.
aber schon 30 syn_recv für eine IP finde ich schon ziemlich happig.

grüße aus halle

Posted: 29. Apr 2009 14:21
by syn_recv