SYN floody

[Petr Snajdr]

>>>>> "Yenya" == Jan Kasprzak <kas na informatics.muni.cz> writes:

    Yenya: Leos Bitto pise:
    ::  Tohle je myslene vazne? Principem syn floodu je ze zdrojova
    :: adresa je zfalsovana. Pravda, pokud je utocnik hloupy a posila ty
    :: pakety porad se stejnou zdrojovou adresou, zabere to...
    :: 
    Yenya: 	Je to mysleno vazne - budto je adresa v poradku, pak ji
    Yenya: lze odriznout, nebo je zfalsovana a lze zdroj dohledat ve
    Yenya: spolupraci s ISP (tezko, ale lze).

Tak ted jsem z toho jelen. :-)

1) v SYN flood paketech je adrea, kterou mohu zjistit tcpdumpem
2) vzhledem k tomu, ze falsna a neni duvod proc by mela byt vzdy stejna
   je  mi to k nicemu tj.  budu postupne generovat silenou tabulku
   pro ipfwadm az vycerpam vsechny inet adresy, ktere k tomu ucelu
   jde pouzit :)))
3) moznost 2) je velice teoreticka :-)
4) zfalsovanou lze odrinout taky, ale  vzhledem k bodu 2)
   nema smysl asi odrezavat nic (kdo udela nejaky SYN flooating
   tools, asi zvladne i generator adres)
5) dohledani s ISP pokud bude utocnika za sedmero ISP a sedmero
   routry bude to  velice zabavne a zvaste pokud zdroj bude nejaky
   hacknuty server na ktery nekdo leze zase pres sedmero
   hacknutych serveru a routeru. Skoro me napad, ze efektivnejsi
   je pockat az ho to prestane bavit :)

6) A ted co bylo mysleno opravdu vazne :-)

BTW: Mozna by slo vymyslet na routrech nejaky mechanismus, ktery
by utok detekoval a zastavil, ale namam moc presnou predstavu
jak na to. Jinak vzhledem k tomu, ze behem utoku je sit jaksi
stejne defakto nefunkcni, zatizeni CPU pocitace se da snizit
IMHO ifconfig eth0 down :)

    Yenya: -Yenya

S pozdravem
    Petr Snajdr