SYN Flood
David Rohleder
davro na ics.muni.cz
Středa Září 26 11:04:48 CEST 2001
milan.kerslager na spsselib.hiedu.cz (Milan Kerslager) writes:
> On Wed, 26 Sep 2001, Ing. Pavel PaJaSoft Janousek wrote:
>
> > > Nevrklame samozrejme primo s /var/log/messges. Jiny skript udela kopii
> > > poslednich 500 radku do samostatneho souboru (podle potreby, napr.
> >
> > 500 radku? A to je co za jednotku, jak vite kolik radku tam za posledni
> > dobu kernel (nikoli ipchains!) nacpal?
> >
> > Vas zakaznik bych teda byt nechtel, vim, ze jste presvedcen o uspesne
> > realizaci zadani, ja si vsak myslim, ze Vase reseni ma tolik nedostatku,
> > ze to snad ani reseni neni... zbytek veci jiz zminovali ostatni...
>
> Spise jde o to, ze podle zkusenosti z akademicke site (linky 10Mbps,
> 100Mbps, 2.5 Gbps) nema cenu se zabyvat nejakymi SYN datagramy nebo
Ono to na tech 2.5 Gbps ani nejde, protoze ty zdechliny co to routuji
(nebo spise switchuji) neumi access-listy na interface :-) A navic by
to ani neutahly.
> scannovanim (stejne to delaji skripty na hacknutych masinach - tedy pokud
> nechcete svuj cas utracet na hlidani cizich stroju). Lepsi je se zabyvat
> tim, co skrz firewall skutecne projde (resp. prochazi).
>
> Stejne tak nema smysl sledovat SYNy na WWW server, dokud nezacne byt
> pretizeny. Je to jen ztrata casu. Lepsi je se pripravit na pripadny DoS
> utok a mit po ruce nastroje na jeho uspesne odvraceni (a reportovani -
> samozrejme).
>
No sledovat SYNy na nejaky server mi pripadne pomerne rozumne, alespon
pak mam priznak toho, ze se opravdu jedna o SYN utok, kdyz dojde k
vyraznemu zvetseni poctu techto paketu.
Stejne tak je rozumne sledovat pocet polootevrenych spojeni (dusledek
SYN utoku), atd.
--
-------------------------------------------------------------------------
David Rohleder davro na ics.muni.cz
Institute of Computer Science, Masaryk University
Brno, Czech Republic
-------------------------------------------------------------------------
Další informace o konferenci Linux