SYN Flood
Milan Kerslager
milan.kerslager na spsselib.hiedu.cz
Úterý Září 25 06:25:33 CEST 2001
On Tue, 25 Sep 2001, Michal Vymazal wrote:
> > >V kazdem pripade bych do budoucna pouzil paketovy filtr (ipchains) s
> > >logovanim vsech prichozich tcp SYN paketu (a UDP pakety radeji tez) na
> > >externi rozhrani (eth do Internetu).
> >
> >Vsech? Jestli si chcete ten denial of service posichrovat, tak urcite. :)
> >(Ve skutecnosti nastesti neni tak snadne zajistit logovani uplne vseho,
> >protoze zapis hlasek do logu je "rate limited".)
>
> Ale proc?:-)
> ipchains zapise do /var/log/messages, to stroj moc nevytizi. A logy lze
> snadno "odrotovat". Vtip je v tom, ze generovat html vystup o "zapsanych
> paketech (TCP SYN nebo UDP) muze tez automat, pak to odesle do posty
> adminovi a ten si zkratka pocte:-)
> Mame to na nekolika linuxovych routerech a poctenicko to je. Zatim se
> zadny z nich na denial of services nezhroutil (cimz netvrdim, ze k tomu
> nemuze dojit). Ale admin prinejmensim dopredu vi, k cemu asi tak dochazi
To zavisi na rychlosti prichozi linky. Na lince 10Mbps lze generovat
radove rekneme 1MBps / 100B = 10.000 datagramu za vterinu, coz se do logu
z vlastni zkusenosti zapisovat nestihne (10.000 * 150B = 1.5MB/s), protoze
to PC musi obsluhovat sbernici se sitovou kartou, zapisovat na disk, rezie
jadra a overhead logovaciho demona. Navic 1GB disku se zaplni za 1024 /
1.5 = cca 11 minut, coz je opravdu sila.
Pokud to cele pripojite ke 100 Mbps siti, tak je to uplne v pytli ... :-)
--
Milan Kerslager
E-mail: milan.kerslager na pslib.cz
WWW: http://www.spsselib.hiedu.cz/~kerslage/
Další informace o konferenci Linux