Warning: possible SYN flood from 195.146.158.35
Michal Krause
mike na navrcholu.cz
Čtvrtek Listopad 5 12:05:51 CET 1998
Marcel Telka wrote:
>
> Prave pred chvilkou sa mi objavilo v logu toto:
>
> Nov 4 08:53:12 proxy kernel: Warning: possible SYN flood from
> 195.146.158.35 on 195.28.70.52:14875. Sending cookies.
>
> (Pre zaujimavost: 195.146.158.35 je brana.minv.sk)
>
> Chlapik sa pripojil cez ftp, nic nepreniesol, len urobil tento zaznam v
> logu.
> Som zvedavy ci je to len nahoda (omyl), alebo sa niekto snazi k nam
> dostat....
Nesnazi se k vam dostat, ale snazi se o tzv. Denial of Service (DoS - odepreni
sluzby) utok. Jde o to, ze se snazi dosahnout zahlceni nejakeho sitoveho
demona (napr httpd). Zjednodusene receno SYN Flood funguje tak, ze se posle
zfalsovany SYN packet jakoby z adresy, ktera nemuze odpovedet. Potom se Vas
demon snazi na tuto adresu pripojit a nejakou dobu v tomto stadiu zustane.
Behem teto doby se program snazi posilat dalsi a dalsi SYN pakety az dojde k
absolutnimu zahlceni demona, ktery pak neni schopen resit dalsi pozadavky. V
jadre od verze 2.0.33 je moznost zapnout tzv. SYN cookies (a nebo RST cookies,
ktere ale pak zmizely). To funguje (opet zjednodusene receno) tak, ze se
posila v odpovedi tzv. cookies a ocekava se odpoved. Pokud neprijde, je
spojeni ukonceno. Prestoze s temito cookies nedokaze nikdo DoS dotahnout do
konce, muze to mit za nasledek znacne pretizeni serveru, pripadne vycerpani
pameti apod.
Nevim, jestli se muze SYN Flood objevit omylem.
S pozdravem
MK
/\
----------------------------------/ \----------------------------------
Michal Krause - 4WeB /\ / \ /\
mailto:mike na navrcholu.cz / \/ \/ \ Sluzba Na vrcholu
http://4web.navrcholu.cz/ / \ / \ http://www.navrcholu.cz/
ICQ:7665279 / \ / \
------------------------------------------------------------------------
Další informace o konferenci Linux