Warning: possible SYN flood from 195.146.158.35

Čtvrtek Listopad 5 12:05:51 CET 1998

Marcel Telka wrote:
> 
> Prave pred chvilkou sa mi objavilo v logu toto:
> 
> Nov  4 08:53:12 proxy kernel: Warning: possible SYN flood from
> 195.146.158.35 on 195.28.70.52:14875.  Sending cookies.
> 
> (Pre zaujimavost: 195.146.158.35 je brana.minv.sk)
> 
> Chlapik sa pripojil cez ftp, nic nepreniesol, len urobil tento zaznam v
> logu.
> Som zvedavy ci je to len nahoda (omyl), alebo sa niekto snazi k nam
> dostat....

Nesnazi se k vam dostat, ale snazi se o tzv. Denial of Service (DoS - odepreni
sluzby) utok. Jde o to, ze se snazi dosahnout zahlceni nejakeho sitoveho
demona (napr httpd). Zjednodusene receno SYN Flood funguje tak, ze se posle
zfalsovany SYN packet jakoby z adresy, ktera nemuze odpovedet. Potom se Vas
demon snazi na tuto adresu pripojit a nejakou dobu v tomto stadiu zustane.
Behem teto doby se program snazi posilat dalsi a dalsi SYN pakety az dojde k
absolutnimu zahlceni demona, ktery pak neni schopen resit dalsi pozadavky. V
jadre od verze 2.0.33 je moznost zapnout tzv. SYN cookies (a nebo RST cookies,
ktere ale pak zmizely). To funguje (opet zjednodusene receno) tak, ze se
posila v odpovedi tzv. cookies a ocekava se odpoved. Pokud neprijde, je
spojeni ukonceno. Prestoze s temito cookies nedokaze nikdo DoS dotahnout do
konce, muze to mit za nasledek znacne pretizeni serveru, pripadne vycerpani
pameti apod.
Nevim, jestli se muze SYN Flood objevit omylem.

             S pozdravem
                                   MK
                                   /\
----------------------------------/  \----------------------------------
Michal Krause - 4WeB         /\  /    \  /\
mailto:mike na navrcholu.cz    /  \/      \/  \           Sluzba Na vrcholu
http://4web.navrcholu.cz/  /    \      /    \   http://www.navrcholu.cz/
ICQ:7665279               /      \    /      \
------------------------------------------------------------------------