SYN flooding on port 443

[Mitnick]

Hallo zusammen,

Ich habe seit einigen Tagen ein merkwürdiges Problen mit Syn floods auf meinem Debian Lenny Server.

Die IP die ganz oben in der kern.log steht hab ich einige tage zuvor mittels iptables gesperrt. Jedoch erscheinen jeden Tag neue einträge wobei ich nicht nachvollziehen kann von welcher Ip der angriff stattfindet.
Könntet ihr mir vll. bitte dabei weiterhelfen?
Ich poste euch mal meine kern.log und die systcl.conf
Die kern.log habe ich jetzt mal etwas verkleinert für euch da sowieso immer das gleiche drin steht.
kern.log:

Jan 30 06:25:48 2L19 kernel: imklog 3.18.6, log source = /proc/kmsg started.05
Jan 31 :59:26 2L19 kernel: [1007247.384421] UDP: bad checksum. From 115.168.71.84:5060 to 217.23.5.119:5060 ulen 417
Jan 31 06:25:01 2L19 kernel: imklog 3.18.6, log source = /proc/kmsg started.
Feb  1 03:16:13 2L19 kernel: [1088995.563902] possible SYN flooding on port 443. Sending cookies.
Feb  1 06:25:01 2L19 kernel: imklog 3.18.6, log source = /proc/kmsg started.
Feb  2 00:12:31 2L19 kernel: [1169686.894906] possible SYN flooding on 
Feb  5 19:03:45 2L19 kernel: [1517233.129873] __ratelimit: 1 messages suppressed
Feb  5 19:03:45 2L19 kernel: [1517233.129877] TCP: Treason uncloaked! Peer 0000:0000:0000:0000:0000:ffff:5b07:ea17:54553/443 shrinks window 2908052299:2908065635. Repaired.

Meine systcl.conf sieht so aus:

#
# /etc/sysctl.conf - Configuration file for setting system variables
# See /etc/sysctl.d/ for additonal system variables
# See sysctl.conf (5) for information.
#

#kernel.domainname = example.com

# Uncomment the following to stop low-level messages on console
#kernel.printk = 4 4 1 7

##############################################################3
# Functions previously found in netbase
#

# Uncomment the next two lines to enable Spoof protection (reverse-path filter)
# Turn on Source Address Verification in all interfaces to
# prevent some spoofing attacks
net.ipv4.conf.default.rp_filter=1
#net.ipv4.conf.all.rp_filter=1

# Uncomment the next line to enable TCP/IP SYN cookies
# This disables TCP Window Scaling (http://lkml.org/lkml/2008/2/5/167),
# and is not recommended.
net.ipv4.tcp_syncookies=1

# Uncomment the next line to enable packet forwarding for IPv4
#net.ipv4.ip_forward=1

# Uncomment the next line to enable packet forwarding for IPv6
#net.ipv6.conf.all.forwarding=1


###################################################################
# Additional settings - these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Ignore ICMP broadcasts
#net.ipv4.icmp_echo_ignore_broadcasts = 1
#
# Ignore bogus ICMP errors
#net.ipv4.icmp_ignore_bogus_error_responses = 1
# 
# Do not accept ICMP redirects (prevent MITM attacks)
#net.ipv4.conf.all.accept_redirects = 0
#net.ipv6.conf.all.accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net.ipv4.conf.all.secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
#net.ipv4.conf.all.send_redirects = 0
#
# Do not accept IP source route packets (we are not a router)
#net.ipv4.conf.all.accept_source_route = 0
#net.ipv6.conf.all.accept_source_route = 0
#
# Log Martian Packets
#net.ipv4.conf.all.log_martians = 1
#
# The contents of /proc/<pid>/maps and smaps files are only visible to 
# readers that are allowed to ptrace() the process
# kernel.maps_protect = 1
#
#
net.ipv4.tcp_synack_retries = 3
net.ipv4.tcp_syn_retries = 3

 

[d4f]

Jedoch erscheinen jeden Tag neue einträge wobei ich nicht nachvollziehen kann von welcher Ip der angriff stattfindet.

Da TCP-SYN das erste Paket des 3Wege-Handshake ist welches (unter anderem) Spoofing verhindert und somit der Client als Absender reinschreiben kann was er will ist es nicht wirklich vertrauenswuerdig - zumindest nicht bis IP Certs auf allen IP's realisiert ist. (2112?)

Könntet ihr mir vll. bitte dabei weiterhelfen?

netstat sollte aber Details liefern.
Hier noch Details: http://www.symantec.com/connect/articles/hardening-tcpip-stack-syn-attacks