SYN Flood

[David Rohleder]

milan.kerslager na spsselib.hiedu.cz (Milan Kerslager) writes:

> On Wed, 26 Sep 2001, Ing. Pavel PaJaSoft Janousek wrote:
> 
> > > Nevrklame samozrejme primo s /var/log/messges. Jiny skript udela kopii
> > > poslednich 500 radku do samostatneho souboru (podle potreby, napr.
> >
> > 	500 radku? A to je co za jednotku, jak vite kolik radku tam za posledni
> > dobu kernel (nikoli ipchains!) nacpal?
> >
> > 	Vas zakaznik bych teda byt nechtel, vim, ze jste presvedcen o uspesne
> > realizaci zadani, ja si vsak myslim, ze Vase reseni ma tolik nedostatku,
> > ze to snad ani reseni neni... zbytek veci jiz zminovali ostatni...
> 
> Spise jde o to, ze podle zkusenosti z akademicke site (linky 10Mbps,
> 100Mbps, 2.5 Gbps) nema cenu se zabyvat nejakymi SYN datagramy nebo

Ono to na tech 2.5 Gbps ani nejde, protoze ty zdechliny co to routuji
(nebo spise switchuji) neumi access-listy na interface :-) A navic by
to ani neutahly. 

> scannovanim (stejne to delaji skripty na hacknutych masinach - tedy pokud
> nechcete svuj cas utracet na hlidani cizich stroju). Lepsi je se zabyvat
> tim, co skrz firewall skutecne projde (resp. prochazi).
> 
> Stejne tak nema smysl sledovat SYNy na WWW server, dokud nezacne byt
> pretizeny. Je to jen ztrata casu. Lepsi je se pripravit na pripadny DoS
> utok a mit po ruce nastroje na jeho uspesne odvraceni (a reportovani -
> samozrejme).
> 

No sledovat SYNy na nejaky server mi pripadne pomerne rozumne, alespon
pak mam priznak toho, ze se opravdu jedna o SYN utok, kdyz dojde k
vyraznemu zvetseni poctu techto paketu.

Stejne tak je rozumne sledovat pocet polootevrenych spojeni (dusledek
SYN utoku), atd.

-- 
-------------------------------------------------------------------------
David Rohleder						davro na ics.muni.cz
Institute of Computer Science, Masaryk University
Brno, Czech Republic
-------------------------------------------------------------------------