SYN attack - co s tim ?

Pavel Kankovsky peak na kerberos.troja.mff.cuni.cz
Úterý Únor 3 18:04:43 CET 1998


On Tue, 3 Feb 1998, Patka Martin wrote:

> Feb  3 01:09:09 mikros kernel: Warning: possible SYN flood from 205.227.129.168
> on 194.213.243.1:16601.  Sending cookies.
> ..

Mozna to bylo skutecne z 205.227.129.168, ale spis ne. Rekl bych, ze ta
adresa byla zfalsovana. Kdyz to chodi dost dlouho, tak se da skutecny 
zdroj vystopovat po jednotlivych routerech. (Ovsem vyzaduje to aktivni
spolupraci provozovatelu tech routeru.)

> Vlastne to trvalo celych 7 hodin.
> Muzu se proti takovemuto utoku nejak branit ? Nebo co se v takovemto pripade
> dela ? Je nastaveni v jadre  Network options - IP syn cookies  dostatecne ?

To se zrovna kernel tomu utoku branil.
SYN cookies jsou o chloupek mene bezpecne nez RST cookies (jestli se
pamatuju dobre), ale vetsinou je to jedno.

I kdyz existuji i jine metody obrany.

--Pavel Kankovsky aka Peak   [ Boycott Microsoft -- http://www.vcnet.com/bms ]



Další informace o konferenci Linux