SYN floody

Středa Červenec 1 10:33:42 CEST 1998

On Wed, 1 Jul 1998, Jan Kasprzak wrote:

> Michal Krause pise:
> : Nekdo nam pravidelne napada server pomoci %subj%. Server to ustoji, ale ja u
> : toho obvykle sedim a bezmocne koukam, jak load bez zjevne priciny leti vzhuru
> : (nekdy az na 80). Strasne me stve, ze i kdyz ty pokusy bezi zrovna ve chvily,
> : kdy se divam, nemuzu s tim nic delat. Ve vypisu z logu je videt, ze to zkusi
> : treba 2x denne po 20 pokusech kazdou minutu. Neda se s tim neco rozumneho delat?
> : SYN cookies pochopitelne zapnute mam, ale nevim, jestli spis nezabira kratky
> : timeout (60 sec) Apache. Jadro 2.0.34, RedHat 4.2.
> 
> 	Zjistit tcpdumpem, odkud syn-flood prichazi, a pak tu adresu pomoci
> ipfwadm (nebo na routeru) zakazat.
> 

Tohle je myslene vazne? Principem syn floodu je ze zdrojova adresa je
zfalsovana. Pravda, pokud je utocnik hloupy a posila ty pakety porad se
stejnou zdrojovou adresou, zabere to...

Leos Bitto