Monitorando Attacks SYN FLood com Floodmon

Segue uma breve descrição do FLoodmon retirado direto do site.

"Floodmon é um pequeno daemon em Perl,  usado para monitorar um servidor Linux, contra ataques de inundação SYN (Dos DDos).

Trabalha principalmente por ajustes, diretamente na pilha TCP/IP, usando ativação/desativação, tamanho das filas, tempo limite, e retransmissões.

Todas as modificações são feitas em tempo real no sistema em '/ proc'.

Possui 4 níveis de proteção, cada um com sua própria configuração e pode ser bastante agressivo, se necessário.

Pode alertar o administrador de um possível ataque por e-mail ou SMS.

No envio de e-mail, os relatórios são detalhados incluem uma captura dos segmentos SYN para análise."

Vamos utilizar o build do link para podermos criar o pacote versão Slackware.

http://slackbuilds.paissad.net/floodmon/floodmon.SlackBuild

Após a intalação do Floodmon, vamos configurá-lo:

Os arquivos de configuração vai estar em /etc/floodmon.conf

echo 5120 > /proc/sys/net/core/somaxconn

Segue abaixo um exemplo do arquivo floodmon.conf:

Segue a saída do comando floodmon --stats:

root@boot-v1:~# floodmon --stats
[ ------------------- TCP ------------------- ]
- current SYN_RECV sockets  . . : 0
- sockets SYN_RECV reset  . . . : 0
- syncookies sent . . . . . . . : 0
- syncookies received . . . . . : 0
- invalid syncookies received . : 0
- failed connection attempts  . : 14
- received segments . . . . . . : 13,157
- sent segments . . . . . . . . : 8,383
- in/out seg. ratio . . . . . . : 1.569
[ ------------------ Route ------------------ ]
- null-routed IPs/blocks  . . . : 0
[ ------------------- IP -------------------- ]
- dropped packets (OutNoRoutes) : 0
[ ------------------ ICMP --------------------]
- received  . . . . . . . . . . : 0
- sent  . . . . . . . . . . . . : 0
- in/out ratio  . . . . . . . . : --
[ ------------------- UDP ------------------- ]
- received packets  . . . . . . : 2,521
- sent packets  . . . . . . . . : 2,521
- in/out ratio  . . . . . . . . : 1.000
[ ------------------ eth0 ------------------- ]
- total bytes received  . . . . : 10,089,066
- total bytes sent  . . . . . . : 1,190,331
- total packets received  . . . : 14,949
- total packets sent  . . . . . : 8,495
- in/out packets ratio  . . . . : 1.760
[ ------------------------------------------- ]