ada yang tau cara handle serangan SYN Flood ?


Status
Not open for further replies.
PusatHosting said:
pertanyaannya lagi? darimana kita bisa tahu kalau itu bener2 flooding traffik dan bukan Good traffik?

hehe maaf ya jadi ikut-ikutan tanya saya :D
Click to expand...

Ya, dari ddos monitoring. Ada banyak yang saya pakai. ada 4 jenis program yang serupa untuk monitoring traffic. :D
 
nicosoftmedia said:
Ya, dari ddos monitoring. Ada banyak yang saya pakai. ada 4 jenis program yang serupa untuk monitoring traffic. :D
Click to expand...

Nah kelihatannya memang perlu utek2 untuk cari sebenarnya script apa yang CSF gunakan untuk deteksi ini. ya barangkali aja bos sudah dapat kalau ddos deflate kan jelas dia pakai ini

netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
Click to expand...
 
PusatHosting said:
Nah kelihatannya memang perlu utek2 untuk cari sebenarnya script apa yang CSF gunakan untuk deteksi ini. ya barangkali aja bos sudah dapat kalau ddos deflate kan jelas dia pakai ini
Click to expand...

pada dasarnya program2 yang saya pakai itu merujuknya kesana tapi ada tambahan (nggak tahu apa yang ditambah sehingga jadi ok hasil filternya) :D
 
kalau ddosnya yg berjenis brute force / dari beberapa IP saja rasanya proteksi2 diatas termasuk syn flood dari csf bisa bekerja dengan baik, tapi kasus saya agak berbeda dimana problemnya ini ada lebih dari 500 (kemungkinan 1000 lebih) koneksi bersamaan terus-menerus dan setiap koneksinya mempunnyai ip address berbeda, apa mungkin ini kombinasi syn flood + botnet?

agak aneh karena IP addressnya bisa banyak sekali variannya, misalnya awalan 117, 202, 69, 67, dll
 
hostingceria said:
kalau ddosnya yg berjenis brute force / dari beberapa IP saja rasanya proteksi2 diatas termasuk syn flood dari csf bisa bekerja dengan baik, tapi kasus saya agak berbeda dimana problemnya ini ada lebih dari 500 (kemungkinan 1000 lebih) koneksi bersamaan terus-menerus dan setiap koneksinya mempunnyai ip address berbeda, apa mungkin ini kombinasi syn flood + botnet?

agak aneh karena IP addressnya bisa banyak sekali variannya, misalnya awalan 117, 202, 69, 67, dll
Click to expand...

Lacak dulu kemana IP tersebut mengakses. jika tidak wajar diblok aja dari CSF.
 
hostingceria said:
kalau ddosnya yg berjenis brute force / dari beberapa IP saja rasanya proteksi2 diatas termasuk syn flood dari csf bisa bekerja dengan baik, tapi kasus saya agak berbeda dimana problemnya ini ada lebih dari 500 (kemungkinan 1000 lebih) koneksi bersamaan terus-menerus dan setiap koneksinya mempunnyai ip address berbeda, apa mungkin ini kombinasi syn flood + botnet?

agak aneh karena IP addressnya bisa banyak sekali variannya, misalnya awalan 117, 202, 69, 67, dll
Click to expand...

apa bos sudah coba pakai perintah ini
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
Click to expand...

command tsb bisa menampilkan total nilai request / IP, dan kira2 brp total prosess apachenya ya... waktu serangan terjadi. 200 - 300 kah?

mungkin saja limit nilai MaxClient apache bisa diturunkan...

CMIIW
 
Status
Not open for further replies.
Back
Top