Всем привет, столкнулся с такой проблемой, у мя имеется http сервер (Linux CentOS) , который доступен в локальную сеть через роутер DIR-100 посредством порт форвординга. А если ближе к делу проблема в том, что меня атакуют по 80порту, apache падает на тормоз и сжирает всю оперативную память, естественно сервер становится не совсем работоспособным... В логах роутера можно увидеть что-то подобное этому:
Feb/12/2009 21:05:54 [FW] **TCP SYN Flooding** IP/TCP 10.50.132.54:1295->10.5.12.173:80
Feb/12/2009 21:05:54 [FW] **TCP SYN Flooding** IP/TCP 10.9.13.11:4661->10.5.12.173:80
Feb/12/2009 21:05:54 [FW] **TCP SYN Flooding** IP/TCP 10.7.4.62:3561->10.5.12.173:80
Feb/12/2009 21:05:54 [FW] **TCP SYN Flooding** IP/TCP 10.102.104.150:3393->10.5.12.173:80
Feb/12/2009 21:05:54 [FW] **TCP SYN Flooding** IP/TCP 10.50.28.199:1121->10.5.12.173:80
Feb/12/2009 21:05:54 [FW] **TCP SYN Flooding** IP/TCP 10.106.254.68:4262->10.5.12.173:80
Feb/12/2009 21:05:54 [FW] **TCP SYN Flooding** IP/TCP 10.102.115.188:2758->10.5.12.173:80
Feb/12/2009 21:05:54 [FW] **TCP SYN Flooding** IP/TCP 10.114.20.28:2435->10.5.12.173:80
Feb/12/2009 21:05:54 [FW] **TCP SYN Flooding** IP/TCP 10.102.115.188:2752->10.5.12.173:80
Feb/12/2009 21:05:54 [FW] **TCP SYN Flooding** IP/TCP 10.114.20.28:2430->10.5.12.173:80
Feb/12/2009 21:05:48 [FW] **TCP SYN Flooding** IP/TCP 10.50.17.123:52479->10.5.12.173:80
Feb/12/2009 21:05:48 [FW] **TCP SYN Flooding** IP/TCP 10.50.17.123:52468->10.5.12.173:80
Feb/12/2009 21:05:48 [FW] **TCP SYN Flooding** IP/TCP 10.50.17.123:52471->10.5.12.173:80
Feb/12/2009 21:05:48 [FW] **TCP SYN Flooding** IP/TCP 10.50.17.123:52442->10.5.12.173:80
Feb/12/2009 21:05:48 [FW] **TCP SYN Flooding** IP/TCP 10.50.17.123:52434->10.5.12.173:80
Feb/12/2009 21:05:48 [FW] **TCP SYN Flooding** IP/TCP 10.50.17.123:52429->10.5.12.173:80
Feb/12/2009 21:05:48 [FW] **TCP SYN Flooding** IP/TCP 10.50.17.123:52426->10.5.12.173:80
Feb/12/2009 21:05:48 [FW] **TCP SYN Flooding** IP/TCP 10.50.17.123:52418->10.5.12.173:80
Feb/12/2009 21:05:48 [FW] **TCP SYN Flooding** IP/TCP 10.50.17.123:52410->10.5.12.173:80

атакующие айпи постоянно разные, сидеть банить всех вручную круглые сутки я не могу, это конечно хорошо, что роутер видит атаки, но как сделать чтобы он сними боролся и не пропускал их на сервер и хотябы на какое-то время банил атакующие IP адреса, возможно ли такое?

ну и, ниукого никаких идей? куда все инженеры d-link пропали?!

В поиске не нашел, поэтому спрошу:
DIR-100 каждые 30 секунд в логе пишет


Что это?
и как на это реагировать ?

В локальной сети ничего по адресу 192.168.0.2 нет

Тема вообще не живая, куда смотрят админы не пойму, никто не может посоветовать как бороться?!

Это syn flood атака.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

отлично, а как с ней бороться? и вообще возможно ли реализовать такую функцию чтобы роутер блокировал на время хосты с которых происходит атака?

Да никак не возможно на данном роутере. Копайте в сторону софтового решения непосредственно на сервере. А вот в DFL есть решение для подобных атак. Но это другой девайс и другие деньги.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Да легче модуль на апач поставить (mod_evasive).

_________________
DI-524 (2.06Patch08RU) - Divo PPPoE
DIR-300 (1.05_b09) - OnLime IPoE
DIR-655 (1.37WW) (в запасе)
DIR-825 - OnLime IPoE
DIR-140L (1.02b02WW) + DIR-806A (2.5.22) + DES-1008A - OnLime IPoE