Liste der halboffenen Verbindungen in LCOS?

[Keeper]

Hallo zusammen,

ich habe in letzter Zeit das Problem, dass vermehrt halb offene Verbindungen zu einer bestimmten IP existieren, die dann die Dos Protection triggered und weitere Verbindungen untersagt. Ich habe das Problem aktuell damit gelöst, dass ich einfach die Anzahl der erlaubten Verbindungen erhöht habe.

Was mich aber interessieren würde, kann ich neben der Gesamt-Anzahl an halb offenen Verbindungen auch eine Liste dieser Verbindungen erhalten? Also nicht nur die Ziel Adresse, sondern auch die Quell Adresse?

Wenn ich auf dem Ziel System schaue:

Code: Alles auswählen

netstat -nat | grep SYN_
ss -a | grep SYN

dann habe ich da eine Ausgabe im einstelligen Bereich, im LCOS bin ich aber im dreistelligen Bereich...

[GrandDixence]

Sind halb-offene TCP-Verbindungen nicht unter:

LCOS-Menübaum > Status > IP-Router > Verbindungsliste

ersichtlich?

Weshalb das TCP-Handshake nicht klappt, muss mit Wireshark und Packet Capture festgestellt werden.
https://de.wikipedia.org/wiki/Transmiss ... ungsaufbau

fragen-zum-thema-firewall-f15/dos-meldu ... 20782.html

[Keeper]

Danke für deine Idee! Habe da gerade mal geschaut, in der Verbindungsliste habe ich aktuell 24 Einträge für die entsprechende Ziel-IP, in der HO-Verbindungs Übersicht bin ich aber deutlich über 100.
Ja, ich glaube ich muss mal nen TCPDump auf dem System durchführen und mal in Wireshark anschauen, vielleicht bringt das was.

[GrandDixence]

Ja, ich glaube ich muss mal nen TCPDump auf dem System durchführen und mal in Wireshark anschauen,

Aus Sicherheitsgründen sollte dumpcap und dann Wireshark auf Linux-Rechnern ausgeführt werden.
https://wiki.wireshark.org/CaptureSetup ... ge-manager

Code: Alles auswählen

dumpcap -i eth0 -B 10 -w /tmp/test.pcapng
chown foo:users /tmp/test.pcapng

[GrandDixence]

Beim Einsatz vom Befehl "ss" gehe ich davon aus, dass hier irgendein Serverdienst auf einem Linux-Rechner betrieben wird. Beim Einsatz eines Linux-Rechner für Serverdienste sind mehrere Punkte bei der Linux-Firewallkonfiguration zu beachten:

1.) Strikte Paketkontrolle in der SPI-Firewall aktiveren

Code: Alles auswählen

# /usr/sbin/sysctl -w net.netfilter.nf_conntrack_tcp_loose=0

https://docs.kernel.org/networking/nf_c ... ysctl.html

https://superuser.com/questions/1258689 ... f-big-file

https://blog.cloudflare.com/conntrack-t ... one-flows/

2.) Probleme mit TCP SYN-Cookies

https://documentation.ubuntu.com/securi ... n-cookies/

https://docs.kernel.org/networking/ip-sysctl.html

https://www.geeksforgeeks.org/computer- ... od-attack/

https://blog.cloudflare.com/syn-packet- ... -the-wild/

https://access.redhat.com/solutions/30453

Code: Alles auswählen

# more /etc/sysctl.conf |grep -i syncookie
net.ipv4.tcp_syncookies = 0

So oder so sollte mit conntrack die korrekte Funktionsweise der Linux-SPI-Firewall kontrolliert werden.
https://linuxvox.com/blog/conntrack-linux/