SYN flood aanval: server onbereikbaar en router traag

Mijn server reageert niet meer, mijn router is traag en mijn router log toont SYN flood aanvragen. Wat moet ik nu doen? Hoe los ik dit op?

Recentelijk ben ik in aanraking gekomen met een DOS aanval. Een SYN flood aanval. Interessant gegeven. Als particulier het slachtoffer worden van een DOS aanval. De eerste vraag die je dan stelt is: Waarom? Hoe kan dat nu? Zo interessant ben ik toch niet? Ik ben maar een enkele particuliere gebruiker? Wat maakt het interessant om mij aan te vallen? Wie mag mij niet?

Eerst een stukje context. Het viel me op dat ik mijn cloudserver niet meer kon bereiken. Toen ben ik gaan kijken of ik gekke dingen kon vinden op mijn server. Kan ik nog inloggen via ssh? Zijn alle updates gedraaid? Is mijn webserver nog ‘up’. Wat zeggen de logs? Toen ik had vastgesteld dat er niets bijzonders aan de hand leek te zijn met mijn server, heb ik updates gedraaid en mijn server herstart. Dit loste het probleem niet op. Toen ben ik gaan kijken op mijn router. De router gaf aan dat er ‘syn flood’ aanvragen vanuit verschillende IP’s richting mijn IP adres zijn gestuurd. Toen ging ik zoeken naar wat SYN Flood is. En dit bleek een DoS (Denial of Service) aanval te zijn.

Een SYN FLOOD aanval zorgt (zoals hier te lezen) ervoor dat er meerdere (synchronous) verbindingsaanvragen worden gestuurd naar een server. Deze aanvraag wordt gedaan vanuit een ‘niet bestaand’ of ‘gespoofed’ IP adres. De server reageert hierop en wacht op antwoord. Dit antwoord komt niet en dus wacht de server een time out periode. In de tussentijd reserveert de server ruimte en wanneer alle ruimte gebruikt is, reageert de server niet meer op andere aanvragen. Vervolgens krijgt de server weer een aanvraag. Het gevolg van dit soort aanvallen is dat de server niet meer bereikbaar is voor ‘legitieme’ aanvragen.

Na nog iets verder zoeken lijkt het erop dat dit niet zozeer een gerichte aanval op mijn server is, danwel een gerichte aanval op IP adressen behorende bij mijn ISP (internet service provider). De aanval was ook gericht op meerdere poorten van mijn router en mijn server op slechts op (een) enkele poort(en) open staat.

Nu ik dacht te weten wat het probleem was, wat kan ik dan doen?

  1. Het eerste wat ik heb geprobeerd was ‘googlen’ wat hieraan te doen is. Op linux zijn er mogelijkheden om SYN FLOOD attacks tegen te gaan. Bijvoorbeeld door de time out periode te verkleinen, wellicht beter nog het commando “echo -n 1 > /proc/sys/net/ipv4/tcp_syncookies” zoals aangegeven in deze ‘thread’. Dit is op mijn eigen linux server mogelijk, maar op een Router van een ISP helaas niet altijd.
  2. Toen herstartte ik mijn router van mijn ISP en poef … alles werkte weer. De syn flood aanval(len) leken ook meteen gestopt.  Het probleem was dus opgelost nadat ik mijn router had herstart.
  3. Ergens ook wel jammer, want nu kan ik niet meer testen of die andere oplossing werkt. Dus voor de volgende keer …