SYN floody
Petr Snajdr
snajdr na brailcom.cz
Středa Červenec 1 11:19:01 CEST 1998
>>>>> "Yenya" == Jan Kasprzak <kas na informatics.muni.cz> writes:
Yenya: Leos Bitto pise:
:: Tohle je myslene vazne? Principem syn floodu je ze zdrojova
:: adresa je zfalsovana. Pravda, pokud je utocnik hloupy a posila ty
:: pakety porad se stejnou zdrojovou adresou, zabere to...
::
Yenya: Je to mysleno vazne - budto je adresa v poradku, pak ji
Yenya: lze odriznout, nebo je zfalsovana a lze zdroj dohledat ve
Yenya: spolupraci s ISP (tezko, ale lze).
Tak ted jsem z toho jelen. :-)
1) v SYN flood paketech je adrea, kterou mohu zjistit tcpdumpem
2) vzhledem k tomu, ze falsna a neni duvod proc by mela byt vzdy stejna
je mi to k nicemu tj. budu postupne generovat silenou tabulku
pro ipfwadm az vycerpam vsechny inet adresy, ktere k tomu ucelu
jde pouzit :)))
3) moznost 2) je velice teoreticka :-)
4) zfalsovanou lze odrinout taky, ale vzhledem k bodu 2)
nema smysl asi odrezavat nic (kdo udela nejaky SYN flooating
tools, asi zvladne i generator adres)
5) dohledani s ISP pokud bude utocnika za sedmero ISP a sedmero
routry bude to velice zabavne a zvaste pokud zdroj bude nejaky
hacknuty server na ktery nekdo leze zase pres sedmero
hacknutych serveru a routeru. Skoro me napad, ze efektivnejsi
je pockat az ho to prestane bavit :)
6) A ted co bylo mysleno opravdu vazne :-)
BTW: Mozna by slo vymyslet na routrech nejaky mechanismus, ktery
by utok detekoval a zastavil, ale namam moc presnou predstavu
jak na to. Jinak vzhledem k tomu, ze behem utoku je sit jaksi
stejne defakto nefunkcni, zatizeni CPU pocitace se da snizit
IMHO ifconfig eth0 down :)
Yenya: -Yenya
S pozdravem
Petr Snajdr
Další informace o konferenci Linux