Как защититься от syn flood на сервер

[beerNIX]

В общем проблема такая, на сервер поступает множество запросов, и всё бы хорошо, но идут они с подменой ip-адреса.

Приведу пример:
/bin/netstat -apn | grep SYN_RECV

Код: Выделить всё

tcp        0      0 199.115.231.**:80       202.173.23.0:*          SYN_RECV    -               
tcp        0      0 199.115.231.**:80       146.113.202.0:*         SYN_RECV    -               
tcp        0      0 199.115.231.**:80       16.83.38.128:*          SYN_RECV    -               
tcp        0      0 199.115.231.**:80       111.169.51.0:*          SYN_RECV    -               
tcp        0      0 199.115.231.**:80       3.175.214.204:*         SYN_RECV    -               
tcp        0      0 199.115.231.**:80       113.131.183.0:*         SYN_RECV    -               
tcp        0      0 199.115.231.**:80       90.23.181.128:*         SYN_RECV    -               
tcp        0      0 199.115.231.**:80       33.174.119.0:*          SYN_RECV    -               
tcp        0      0 199.115.231.**:80       87.193.29.128:*         SYN_RECV    -               
tcp        0      0 199.115.231.**:80       84.75.75.128:*          SYN_RECV    -               
tcp        0      0 199.115.231.**:80       87.126.132.128:*        SYN_RECV    -               
tcp        0      0 199.115.231.**:80       121.130.150.128:*       SYN_RECV    -               
tcp        0      0 199.115.231.**:80       101.190.253.128:*       SYN_RECV    -               
tcp        0      0 199.115.231.**:80       182.34.83.0:*           SYN_RECV    -               
tcp        0      0 199.115.231.**:80       135.237.200.0:*         SYN_RECV    -               
tcp        0      0 199.115.231.**:80       84.53.187.0:*           SYN_RECV    -               
tcp        0      0 199.115.231.**:80       178.161.6.0:*           SYN_RECV    -               
tcp        0      0 199.115.231.**:80       222.17.242.0:*           

Но что-то мне подсказывает, что их можно махом отбросить каким-то хитрым способом, ибо в tcpdump они идут с одинаковыми параметрами:

Код: Выделить всё

14:33:50.655555 IP 62.155.90.0.0 > site.com.www: Flags [S], seq 42, win 10000, options [mss 1452,sackOK,TS val 422940867 ecr 0,nop,wscale 5], length 0
14:33:50.655609 IP 194.43.76.0.0 > site.com.www: Flags [S], seq 42, win 10000, options [mss 1452,sackOK,TS val 422940867 ecr 0,nop,wscale 5], length 0

В интернете уже всё перерыл, поэтому и спрашиваю здесь, если кто-либо знает, хотя бы направление для решения, пожалуйста, потратье своё время для ответа.[/b]

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Neus]

все ли?
http://www.xakep.ru/magazine/xs/047/080/1.asp

[beerNIX]

И это в том числе. Как видно из первого поста, долбится целенаправленно 80-й порт, так что начало статьи уже отбрасываем.
Т.к. запросы идут с поддельных ИП, которые постоянно меняются, отбрасываем всю остальную существенную часть статьи.

Кстати, ОС Ubunta.

[Alex Keda]

ну так тему тогда надо размещать в помоешном разделе, а не для нормальных ОС
щас туда и определим