Opet SYN flooding
Pavel Kankovsky
peak na argo.troja.mff.cuni.cz
Středa Květen 19 20:16:45 CEST 1999
On Wed, 19 May 1999, Michal Krause wrote:
> Kdyz uz jsme u toho,jak presne SYN cookies pracuji?
Zhruba tak, ze misto toho, aby se ISN (initial sequence number) na strane
serveru spocitalo nahodne (*), tak se vezme jako hash ze zdrojove a cilove
adresy (vc. portu), aktualniho casu a mozna jeste neceho. Server pak
odesle odpoved a vse zapomene (jako kdyby nikdo nikdy spojeni nebylo
otvirano). Kdyz prijde neco, co vypada jako druhy datagram od klienta,
ovsem ke spojeni, ktere nebylo otevreno, tak server overi, ze poradove
cislo na jeho strane je neco, co by vygeneroval behem poslednich n
casovych jednotek, a pokud ano, pak spojeni doopravdy otevre. Vtip je
v tom, ze po dobu trvani krizoveho stavu (SYN_RECV), kdy neni zatim
jakymkoli zpusobem podporena domnenka, ze by mohla byt klientska adresa
spravne, si server nic neudrzuje (normalne nejakych 75 nebo kolik sekund
ceka, jestli se nahodou klient jeste neozve, a po tu dobu si drzi datove
struktury (polo)otevreneho spojeni).
(*) hmm... tak mne napada, ze ten PRNG stejne pouziva kryptografickou
hashovaci funkci (coz je ovsem dobre, protoze kdyby nekdo to cislo
uhadnul, coz se muze stat, kdyz je ISN generovano nejakym stupidnim
zpusobem, treba takovym, ktery pouziva nejmenovany "enterprise ready"
system <g>, tak muze vytvaret spojeni s uplne zfalsovanou zdrojovou
adresou, coz je docela prusvih)
--Pavel Kankovsky aka Peak [ Boycott Microsoft--http://www.vcnet.com/bms ]
"NSA GCHQ KGB CIA nuclear conspiration war weapon spy agent... Hi Echelon!"
Další informace o konferenci Linux