Opet SYN flood (evergreen)

[Michal Krause]

Zdravim,

opet po delsim case nadhazuju moje oblibene tema - SYN flooding. Jadro mi
momentalne tvrdi, ze pravdepodobne dochazi k SYN floodu na port 80. Jenze
oproti vsem predchozim pripadum pozoruji nekolik zasadnich rozdilu v
chovani:

a) na serveru absolutne neroste zatez (momentalne je load pouhych 0.3)
b) bezi velice malo procesu Apache, takze nejde o zadny zvyseny provoz
c) mnoho spojeni se opravdu ztraci (Connection refused by peer)

Z toho vseho bych usuzoval, ze bud

a) oproti predchozim pripadum jde opravdu o utok a nikoliv o bezne
pretizeni
b) neco hapruje v jadre (2.2.13pre17 - upgrade na 2.2.13 final jsem jeste
nestihl)

Nez zacnu neco podnikat, rad bych si overil, zda nahodou opravdu nejde o
nejakou chybu v implementaci TCP stacku, jeden nikdy nevi.

Pokud o chybu nejde a pricinou je opravdu utok, pak bych rad vedel, jestli
lze nejak zmensit pravdepodobnost, ze utocnik uspeje. Zda se totiz, ze
utok je veden neobycejnou silou, nebot nezabiraji ani SYN cookies. Napadlo
me napriklad, zda nejde nejakym patchem zvetsit jaderne struktury pro
prichozi spojeni nebo provest jine podobny opatreni (pameti je dost).

Diky za rady

-- 
S pozdravem

Michal Krause                                                      /\
ICQ: 7665279            Informace (nejenom) ze sveta Linuxu     /\/  \
email: mike na navrcholu.cz ______ http://www.root.cz/ ______ NAVRCHOLU.cz

Co napsat do signatury, aby to nikoho nepohorsilo? Snad jedine nejakou
obecne znamou pravdu. Doufam, ze vsichni vite, ze tucnak je bylozrava ryba.