SYNflooding (was Re: SYN flood from 195.146.158.35)

Peter Kundrat kundrat na gic.sk
Čtvrtek Listopad 5 15:55:08 CET 1998 

On Thu, Nov 05, 1998 at 02:52:47PM +0100, Tomas Hnetila wrote:
> >mel jsem ovsem pocit, ze posilani tolika pozadavku ze cil nestiha
> >odpovidat je proste flooding. ale SYN flooding je kombinace prave
> >floodingu a spoofingu :)
> 
> Ne. SYN je jeden z flagu TCP spojeni.
> 
> 
> >takze poslete plno paketu, ktere vypadaji tak, ze jsou z jineho - v tu
> >dobu nefunkcniho - pocitace. takze cil obdrzi SYN jako ze vyzvu k
> >otevreni spojeni, odpovi na ni, ale protoze je zdrojova adresa
> >zfalsovana na nefunkcni pocitac, nedostane zpet potvrzeni (->three-way
> >handshake). ovsem pamet uz je alokovana, takze hodne takovych requestu
> >vam muze server dobre zavarit.
> >
> >pokud je me mineni spatne, rad si to necham vysvetlit.
> >
> 
> Pokusim se to vysvetlit na nasledujicim prikladu:
> 
> PC1 - vas hackersky pocitac
> PC2 - nejaky server nabizejici nejakou sluzbu (treba po TCP protokolu)
> PC3 - pocitac, ktery ma pristup na server PC2
> 
> Vy jako hacker (PC1) se potrebujete dostat na nejakou sluzbu serveru PC2.
> Na server PC2 je mozne pouze z nekterych IP adres, v nasem pripade pouze
> z pocitace PC3.  Musite tedy vyuzit techniku IP spoofing (falsovani
> zdrojove IP adresy) a vydavat se za pocitac PC3.
> Problem:
> Z vaseho pocitace PC1 zacnete pod falesnou adresou komunikovat se serverem
> PC2,
> server bude odpovidat, ale odpovedi bude dostavat i pocitac PC3, ktery z nich
                                                   ^^^
Obavam sa, ze odpovede bude dostavat LEN pocitac PC3. Ak mi nieco neuslo, tak
pri IP spoofingu bol utok zalozeny na tom, ze nie je odozva od servra PC2, ale PC1
vyuziva napr. to ze z PC3 povoluje login (resp. spustenie prikazu) z PC2 cez .rhosts.
(to vsetko za predpokladu, ze PC1 nevie odpocuvat komunikaciu medzi PC2 a PC3).

> bude znameteny a bude na ne reagovat TCP resetem.  Tyto TCP resety se
> dostanou k serveru PC2 a mohou narusit vasi komunikaci z pocitace PC1 s timto
> serverem (PC2).  Je potreba tedy nejak zajistit aby pocitac PC3 neodesilal
> TCP resety. Na to je vhodna prave technika SYN flooding, pomoci ktere
> zahltite pocitac PC2.  Pretizeny PC2 nebude stihat reagovat na pakety a vas
> PC1 muze v klidu nerusene komunikovat pod falesnou adresou se serverem PC3.

IP spoofing je jedna z moznosti vyuzitia SYN floodu. Druha moznost je SYN flood
ako DoS utok. V kazdom pripade je SYN flood ucinnejsi, ak je zdrojova adresa SYN
packetov neexistujuca. V opacnom pripade dana adresa bude zasielat RST a atakovany
pocitac moze zatvarat spojenia. V kazdom pripade obvykle byva zdrojova adresa
SYN paketov falosna (=spoofed), uz len kvoli problemom s identifikaciou utocnika. 
Predpokladam, ze prave tento vyznam spoofingu mal na mysli kolega.

				pk

-- 
Peter Kundrat
kundrat na gic.sk

Další informace o konferenci Linux