SYNflooding (was Re: SYN flood from 195.146.158.35)
Tomas Hnetila
tom na blovice.cz
Čtvrtek Listopad 5 14:48:10 CET 1998
>mel jsem ovsem pocit, ze posilani tolika pozadavku ze cil nestiha
>odpovidat je proste flooding. ale SYN flooding je kombinace prave
>floodingu a spoofingu :)
Ne. SYN je jeden z flagu TCP spojeni.
>takze poslete plno paketu, ktere vypadaji tak, ze jsou z jineho - v tu
>dobu nefunkcniho - pocitace. takze cil obdrzi SYN jako ze vyzvu k
>otevreni spojeni, odpovi na ni, ale protoze je zdrojova adresa
>zfalsovana na nefunkcni pocitac, nedostane zpet potvrzeni (->three-way
>handshake). ovsem pamet uz je alokovana, takze hodne takovych requestu
>vam muze server dobre zavarit.
>
>pokud je me mineni spatne, rad si to necham vysvetlit.
>
Pokusim se to vysvetlit na nasledujicim prikladu:
PC1 - vas hackersky pocitac
PC2 - nejaky server nabizejici nejakou sluzbu (treba po TCP protokolu)
PC3 - pocitac, ktery ma pristup na server PC2
Vy jako hacker (PC1) se potrebujete dostat na nejakou sluzbu serveru PC2.
Na server PC2 je mozne pouze z nekterych IP adres, v nasem pripade pouze
z pocitace PC3. Musite tedy vyuzit techniku IP spoofing (falsovani
zdrojove IP adresy) a vydavat se za pocitac PC3.
Problem:
Z vaseho pocitace PC1 zacnete pod falesnou adresou komunikovat se serverem
PC2,
server bude odpovidat, ale odpovedi bude dostavat i pocitac PC3, ktery z
nich
bude znameteny a bude na ne reagovat TCP resetem.
Tyto TCP resety se dostanou k serveru PC2 a mohou narusit vasi komunikaci
z pocitace PC1 s timto serverem (PC2).
Je potreba tedy nejak zajistit aby pocitac PC3 neodesilal TCP resety. Na
to je vhodna prave technika SYN flooding, pomoci ktere zahltite pocitac PC2.
Pretizeny PC2 nebude stihat reagovat na pakety a vas PC1 muze v klidu
nerusene
komunikovat pod falesnou adresou se serverem PC3.
S pozdravem
Tomas Hnetila
tom na WinRoute.cz
Další informace o konferenci Linux