Opet SYN flood (evergreen)

[Michal Krause]

Dne 1.11.1999 Pavel Kankovsky napsal

> On Sun, 31 Oct 1999, Michal Krause wrote:
> 
> > a) na serveru absolutne neroste zatez (momentalne je load pouhych 0.3)
> > b) bezi velice malo procesu Apache, takze nejde o zadny zvyseny provoz
> > c) mnoho spojeni se opravdu ztraci (Connection refused by peer)
> 
> Refused? Co rika netstat -a?

Musim pockat, az se to zase projevi, ted si davaji pauzu. Pak posu vypis.

> > Pokud o chybu nejde a pricinou je opravdu utok, pak bych rad vedel, jestli
> > lze nejak zmensit pravdepodobnost, ze utocnik uspeje. Zda se totiz, ze
> > utok je veden neobycejnou silou, nebot nezabiraji ani SYN cookies. Napadlo
> > me napriklad, zda nejde nejakym patchem zvetsit jaderne struktury pro
> > prichozi spojeni nebo provest jine podobny opatreni (pameti je dost).
> 
> SYN cookies jsou obranou proti takovemu utoku, kdy utocnik falsuje svoji
> IP adresu. Lepe receno znemoznuji utok realizovat v pripade, kdy utocnik
> nevidi pakety smerujici na udanou klientskou IP adresu ani nema k dispozici
> dost brutalni vypocetni silu na prolomeni kryptografie, kterou cookies
> pouzivaji, coz v praxi znamena, ze je potencialni utocnik omezen jen na
> svoji skutecnou IP adresu, resp. adresy blizke (napr. ze svoji site),
> procez je ho jednoduche 1. odfiltrovat, 2. identifikovat a potrestat.

Hm, pravda. Z tohoto hlediska jsem se na vec nepodival. Zkusim to
omrknout, az zase zacne a dam vedet.

-- 
S pozdravem

Michal Krause                                                      /\
ICQ: 7665279            Informace (nejenom) ze sveta Linuxu     /\/  \
email: mike na navrcholu.cz ______ http://www.root.cz/ ______ NAVRCHOLU.cz

Co napsat do signatury, aby to nikoho nepohorsilo? Snad jedine nejakou
obecne znamou pravdu. Doufam, ze vsichni vite, ze tucnak je bylozrava ryba.