"Geisterclient" sendet immer wieder ein syn-Packet an Webserver

[khark]

Hallo,

ich hab hier ein Phänomen, das ich nicht richtig einzuschätzen weiß.
Ich habe einen Client mit der IP 193.239.246.1 (gw.clients.softkit.ro) der sich immer wieder ein mit SYN geflaggtes Paket sendet um sich auf den Webserver Port 80 zu verbinden. Dort bleibt der 3-Way Handshake dann allerdings stehen. (netstat -pan zeigt SYN_RECV.)

Beende ich den Apachen und starte ihn wieder neu, ist er kurz darauf wieder da. Ein paar Minuten später (hier ~4) meldet mir mein Apache im error.log folgendes:

[Fri Jan 19 20:28:53 2007] [notice] caught SIGTERM, shutting down
[Fri Jan 19 20:41:20 2007] [notice] suEXEC mechanism enabled (wrapper: /usr/lib/apache2/suexec2)
[Fri Jan 19 20:41:21 2007] [notice] Apache/2 configured -- resuming normal operations
[Fri Jan 19 20:45:09 2007] [error] server reached MaxClients setting, consider raising the MaxClients setting

- Der Client verschwindet wieder, wenn er vom Timeout erschlagen wird, connected sich aber kurz danach erneut.

Nun ist es aber immer nur dieser eine Client, der sich verbindet. Das soll schon ein DDoS sein?? (Habe das mal auf einem Server gesehen, wo eine große deutsche Fun & Clip-Seite draufliegt, das waren hunderte bis tausende Clients/Verbindungen gleichzeitig.)
Die Last geht nicht hoch und erreichbar ist der Webserver auch..

Ich setzte Apache 2.0.54 mit MPM Prefork ein.
Prefork ist wie folgt konfiguriert:

<IfModule prefork.c>
StartServers 3
MinSpareServers 5
MaxSpareServers 2
MaxClients 5
MaxRequestsPerChild 0
</IfModule>

Auf dem Server liegt nur ein bisschen HTML (Webalizer, Munin) und ein Dokuwiki. Alles hinter .htaccess, also nicht für den Rest der Welt zu erreichen.

Ich habe dann einfach mal auf dem Server mit tethereal den Traffic mitgeschnitten. (ethereal -i any -w /root/softkit.ro-dump.cap) und nach

Code: Select all

ip.src == 193.239.246.1 or ip.dst == 193.239.246.1

gefiltert.

Ergebniss:
In der ganzen Zeit geht vom Client nur ein einziges Paket an mich (den Webserver auf Port 80). Eben das SYN-Paket (Flags: SYN=1,ACK=0) vom Client. Dann sendet mein Server 5-6 SYN,ACKs (SYN=1,ACK=1) und das wars...

Ich kann mir dieses Verhalten irgendwie nicht erklären.. Kann mir jemand verraten, was sich dahinter verbirgt?

Den Wireshark-Dump kann ich bei Bedarf via https freigeben.

MfG Christian
EDIT: Ich meine.. Ich kann den Client einfach in der Firewall bei meinem Provider abfangen.. Aber das wäre ja zu langweilig :)

[dodolin]

Es wäre interessant gewesen, ob bzw. was vor dem "caught SIGTERM" im Log stand.

Wenn es wirklich nur ein einziges Paket ist, hilft das zwar wahrscheinlich nichts, aber falls es doch mehrere sind, könnten SYN Cookies helfen.

Deine Settings für MaxClients und MaxRequestsPerChild sehen mir zudem alles andere als optimal aus. Aus welchen Gründen hast du diese Werte gewählt?

[khark]

Vor dem "Caught sigterm" steht nur folgendes:

[Fri Jan 19 19:48:30 2007] [notice] caught SIGTERM, shutting down
[Fri Jan 19 19:48:35 2007] [notice] suEXEC mechanism enabled (wrapper: /usr/lib/apache2/suexec2)
[Fri Jan 19 19:48:35 2007] [notice] Apache/2 configured -- resuming normal operations
[Fri Jan 19 19:50:09 2007] [error] server reached MaxClients setting, consider raising the MaxClients setting
[Fri Jan 19 20:14:52 2007] [notice] caught SIGTERM, shutting down
[Fri Jan 19 20:14:56 2007] [notice] suEXEC mechanism enabled (wrapper: /usr/lib/apache2/suexec2)
[Fri Jan 19 20:14:56 2007] [notice] Apache/2 configured -- resuming normal operations
[Fri Jan 19 20:20:07 2007] [error] server reached MaxClients setting, consider raising the MaxClients setting
[Fri Jan 19 20:20:42 2007] [notice] caught SIGTERM, shutting down
[Fri Jan 19 20:22:12 2007] [notice] suEXEC mechanism enabled (wrapper: /usr/lib/apache2/suexec2)
[Fri Jan 19 20:22:12 2007] [notice] Apache/2 configured -- resuming normal operations
[Fri Jan 19 20:26:13 2007] [notice] caught SIGTERM, shutting down
[Fri Jan 19 20:28:16 2007] [notice] suEXEC mechanism enabled (wrapper: /usr/lib/apache2/suexec2)
[Fri Jan 19 20:28:17 2007] [notice] Apache/2 configured -- resuming normal operations
[Fri Jan 19 20:28:53 2007] [notice] caught SIGTERM, shutting down
[Fri Jan 19 20:41:20 2007] [notice] suEXEC mechanism enabled (wrapper: /usr/lib/apache2/suexec2)
[Fri Jan 19 20:41:21 2007] [notice] Apache/2 configured -- resuming normal operations
[Fri Jan 19 20:45:09 2007] [error] server reached MaxClients setting, consider raising the MaxClients setting

Kommt halt von meinen Versuchen, ob der Client wirklich immer wiederkommt.

Die Preforkkonfiguration stammt noch aus einer Zeit wo ich vom Apachen keine Ahnung hatte und einfach die Server runtergeschraubt habe, damit ich weniger RAM brauche :-)
Könnte ich mal anpassen..

Mittlerweile gehen meine Spekulationen wieder in Richtung Portscan, wobei jemand nicht in der Lage ist seinen Scanner zu bedienen.. Bzgl. Portscan stört mich nämlich das:
- Ausschließlich Port 80 abgefragt wird und nur überprüft wird ob Verbindungen zugelassen sind. Es wird auch nicht die Version mittels HEAD oder sonstwas abgefragt. Nichts.
- Die Überprüfung alle paar Minuten vorgenommen wird (Gut.. Evtl. dauerscan auf eine kleine Range.)

[Joe User]

Was sprechen die anderen Logfiles dazu?

[khark]

Die anderen Apache-Logfiles (access.log als auch error.log) weisen keinen Eintrag von der IP oder der Domain auf. Es wird ja auch keine HTTP-Anfrage abgeschickt.
lsof zeigt auch nichts, da die Verbindung nicht den Status ESTABLISHED hat.

Logs wie auth.log (Ist ein Debian) und syslog ebenfalls nicht.

[khark]

Ich habe jetzt Prefork einfach wieder mit den Defaultwerten konfiguriert. Seitdem ist die Fehlermeldung "Server reached MaxClients setting, consider raising the MaxClients setting" nicht mehr aufgetaucht.
5 Clients waren dann wohl doch etwas wenig :)

Ergo hing das mit dem Apachen nur mit blöder Konfiguration (PEBKAC) zusammen.

Das Rätsel, was der periodische, halbe Verbindungsaufbau soll, besteht aber weiterhin :)

[lord_pinhead]

Schonmal ein Portscan zurück gemacht? Vielleicht ist die Maschine übernommen worden. Wieviele Syn´s empfängst du den in der Minute? Portscans immer auf die selbe Adresse ist eigenartig. Hast du Syn Cookies gesetzt wie dodolin es empfholen hat?

[khark]

Ich empfange nur ca. 1 SYN in 3 Minuten. Also weit weg von dem, was man als DDoS bezeichnen würde.

Mittlerweile kommen die Anfrage aber von versch. IPs, allerdings stammen alles aus Netzen, die ebenfalls softkit gehören.
Ich hab jetzt mal einen thetheresl ring buffer capture angeworfen und lasse den mal über Nacht laufen.

Dann setze ich morgen SYN Cookies und schaue ob sich was tut..

[lord_pinhead]

Hm, das ist schon ein bisschen eigenartig. Er versucht vielleicht nur deine Sockets auszureizen ohne das man es gleich registriert.

[khark]

Also:
typ_syncookies habe ich Sonntagabend aktiviert.

Seit gestern Nachmittag (Montag) kommen keine Pakete mehr von besagtem IP-Bereich.
Nach Aktivierung von syncookies kamen aber weiterhin Pakete.

Allerdings dürfte syncookies hier ja nicht viel bringen, da es für meinen Server ja so aussieht, als ob die Verbindung wegen Timeout zusammenbricht. Und dann wurde ja eine neue Verbindung aufgebaut (manchmal von anderer IP-Adresse) und das Spiel beginnt von neuem.

Ich starte heute nochmal einen netten Portscan. Evtl. habe ich da auch einfach eine Art Strike-Back Firewall erwischt die halt erst nach ein paar Tagen aufhört SYN-Pakete zu schicken.

[khark]

So, nachdem dann 4 Tage Ruhe war habe ich mal wieder einen Portscan auf ein paar IPs bei softkit.ro gemacht von wo aus die SYN-Pakete kamen.
- Keine Reaktion.

Heute, gut 3 Tage später, kamen dann plötzlich wieder SYN-Pakete.

Da scheint wirklich nur irgendwer mit einem Tool zu spielen.