TCP Flooding?
Guten Tag,
Ich bin Entwickler bei einem FiveM Team.
Leider leiden unsere Server an TCP Flooding (SYN).
[1390295.957471] TCP: request_sock_TCP: Possible SYN flooding on port 30121. Sending cookies. Check SNMP counters.
[1390296.205152] TCP: request_sock_TCP: Possible SYN flooding on port 30122. Sending cookies. Check SNMP counters.
[1390296.266979] TCP: request_sock_TCP: Possible SYN flooding on port 30123. Sending cookies. Check SNMP counters.
[1390296.276120] TCP: request_sock_TCP: Possible SYN flooding on port 30125. Sending cookies. Check SNMP counters.
[1390296.933920] TCP: request_sock_TCP: Possible SYN flooding on port 30124. Sending cookies. Check SNMP counters.
Dadurch stürzen die Server immer wieder ab.
Weiss jemand was man da machen kann?
Es handelt sich um einen dedizierten Server mit Ubuntu.
3 Antworten
Sieht so aus als fände hier zumindest ein Portscan statt. Ist immer eine gute Idee, Server in ein separates, geroutetes Netz zu stellen. Dann kann der switch/router mit Access listen versehen werden, die nur den zugriff auf nötige Ports erlauben und alles andere in die tonne treten.
Server über firewalls zu schützen ist "hochwertiger" verursacht jedoch latenzen und erhöht vor allem die Kosten.
Natürlich ist es sinnvoll die interfaces über einen Spiegelport zu überwachen, dann siehst du wer hier welchen Traffic verursacht.
DP
Das ist kein Portscan, das sind genau die Ports, auf denen die FiveM Server laufen.
bessere firewall, proxy
Erstmal sollte man herausfinden ob tatsächlich ein Angriff vorliegt bzw woher diese Requests kommen. Vielleicht ist das ja sogar ein Fehler eurerseits..
Irgendwo werden doch wohl Verbindungen geloggt oder? Sind all diese Ports wirklich offen und nötig? Je nachdem kann das ja auch ein falscher Alam sein..
Notfalls müsst ihr halt tatsächlich euren Datenverkehr mal genauer analysieren.
Das sind die Ports, auf denen die FiveM Server laufen.
Ich werde mal schauen, ob die Verbindungen geloggt werden.
Weisst du vielleicht, wie man sowas herausfinden könnte?