SYN Flood

Michal Vymazal gandalf na mbox.vol.cz
Úterý Září 25 22:13:46 CEST 2001


Pavel Kankovsky wrote:

>On Tue, 25 Sep 2001, Michal Vymazal wrote:
>
>>ipchains zapise do /var/log/messages, to stroj moc nevytizi.
>>
>
>Jak uz psal Milan, zalezi na vice faktorech. A pokud by Vas to napadlo
>jeste ke vsemu posilat do syslogd (kam to asi leze, kdyz zminujete
>/var/log/messages), ktery by default za kazdym zapisem dela fsync()...
>o je!
>
>>A logy lze snadno "odrotovat".
>>
>
>Proc to vsechno strkat do logu, kdyz by to stejne za chvili zmizelo
>v cerne dire? (Specialne, kdyz se tam obcas vyskytne i neco jineho, nez
>"hluk na pozadi".)
>
>>Vtip je v tom, ze generovat html vystup o "zapsanych paketech (TCP SYN
>>nebo UDP) muze tez automat, pak to odesle do posty adminovi a ten si
>>zkratka pocte:-)
>>
>
>To neni denial of service, kdyz pak admin nedela nic jineho, nez ze cte
>reporty z logu? (Nemluve o tom, ze se z toho sam muze (nervove) zhroutit.)
>(BTW: HTML a pres email? Dekuju, uz jsem letos zvracel. :> )
>
>>Mame to na nekolika linuxovych routerech a poctenicko to je.
>>
>
>Reknete adresu a vyzkousime, kolik vydrzite. <evil grin>
>
Ted jsme si asi nerozumeli. Ja to pouzivam na linuxovem routeru a tam je 
skutecne nutne (vzhledem k topologii) logovat vsechny TCP SYN a UDP 
prichozi na vnejsi eth rozhrani (tedy z Internetu). Vtip je v tom, ze 
archivaci dela automat prave pres postu a html vystup je "prehlednejsi" 
nez zapis v /var/log/messages. Archivy admin skutecne cist musi - je to 
jeho prace, ze:-)
Na routeru je povoleno jen par sluzeb (relay MTA) apod. Zadny Apache.
Je to samozrejme veci topologie, ale zatim vydrzel asi 300 pokusu denne 
na port 80. Do syslogd to neposilame, neni duvod. Nejde o hluk na pozadi 
- tak treba perlovy skriptik fire-wallerer "vyzobe" z /var/log/messages 
jen zapisy od ipchains a udela z nich ten "srozumitelny" html vystup.

-- 
Michal Vymazal
gandalf na mbox.vol.cz
Home computer




Další informace o konferenci Linux