SYN Flood
Milan Kerslager
milan.kerslager na spsselib.hiedu.cz
Středa Září 26 13:17:38 CEST 2001
On 26 Sep 2001, David Rohleder wrote:
> > Spise jde o to, ze podle zkusenosti z akademicke site (linky 10Mbps,
> > 100Mbps, 2.5 Gbps) nema cenu se zabyvat nejakymi SYN datagramy nebo
>
> Ono to na tech 2.5 Gbps ani nejde, protoze ty zdechliny co to routuji
> (nebo spise switchuji) neumi access-listy na interface :-) A navic by
> to ani neutahly.
Hm, tady na TU Liberec je Cisco 12000 Gigabit Switch Router a myslim, ze
to neni az takova vykopavka :-)
> > scannovanim (stejne to delaji skripty na hacknutych masinach - tedy pokud
> > nechcete svuj cas utracet na hlidani cizich stroju). Lepsi je se zabyvat
> > tim, co skrz firewall skutecne projde (resp. prochazi).
> >
> > Stejne tak nema smysl sledovat SYNy na WWW server, dokud nezacne byt
> > pretizeny. Je to jen ztrata casu. Lepsi je se pripravit na pripadny DoS
> > utok a mit po ruce nastroje na jeho uspesne odvraceni (a reportovani -
> > samozrejme).
>
> No sledovat SYNy na nejaky server mi pripadne pomerne rozumne, alespon
> pak mam priznak toho, ze se opravdu jedna o SYN utok, kdyz dojde k
> vyraznemu zvetseni poctu techto paketu.
>
> Stejne tak je rozumne sledovat pocet polootevrenych spojeni (dusledek
> SYN utoku), atd.
To vypada na profesionalni reseni... :-) Jenze kdyz jim nekdo tu 64kbs
linku zacpe, tak jim je sledovani stejne na nic, leda ze by meli domluvu s
providerem nebo u nej aspon vlastni router (takze to vlasne stejne jen
zase jen krizove reseni, ale na to jsou nastroje a admin by do tho musel
cumet cely den). Ale to by pak meli penize i na inteligentnejsi firewall.
Uz od zacatku to nevypadalo na krizovy pripad, protoze logovat uplne
vsechno neni zadna sranda...
--
Milan Kerslager
E-mail: milan.kerslager na pslib.cz
WWW: http://www.spsselib.hiedu.cz/~kerslage/
Další informace o konferenci Linux