SYN Flood

[Milan Kerslager]

On 26 Sep 2001, David Rohleder wrote:

> > Spise jde o to, ze podle zkusenosti z akademicke site (linky 10Mbps,
> > 100Mbps, 2.5 Gbps) nema cenu se zabyvat nejakymi SYN datagramy nebo
>
> Ono to na tech 2.5 Gbps ani nejde, protoze ty zdechliny co to routuji
> (nebo spise switchuji) neumi access-listy na interface :-) A navic by
> to ani neutahly.

Hm, tady na TU Liberec je Cisco 12000 Gigabit Switch Router a myslim, ze
to neni az takova vykopavka :-)

> > scannovanim (stejne to delaji skripty na hacknutych masinach - tedy pokud
> > nechcete svuj cas utracet na hlidani cizich stroju). Lepsi je se zabyvat
> > tim, co skrz firewall skutecne projde (resp. prochazi).
> >
> > Stejne tak nema smysl sledovat SYNy na WWW server, dokud nezacne byt
> > pretizeny. Je to jen ztrata casu. Lepsi je se pripravit na pripadny DoS
> > utok a mit po ruce nastroje na jeho uspesne odvraceni (a reportovani -
> > samozrejme).
>
> No sledovat SYNy na nejaky server mi pripadne pomerne rozumne, alespon
> pak mam priznak toho, ze se opravdu jedna o SYN utok, kdyz dojde k
> vyraznemu zvetseni poctu techto paketu.
>
> Stejne tak je rozumne sledovat pocet polootevrenych spojeni (dusledek
> SYN utoku), atd.

To vypada na profesionalni reseni... :-) Jenze kdyz jim nekdo tu 64kbs
linku zacpe, tak jim je sledovani stejne na nic, leda ze by meli domluvu s
providerem nebo u nej aspon vlastni router (takze to vlasne stejne jen
zase jen krizove reseni, ale na to jsou nastroje a admin by do tho musel
cumet cely den). Ale to by pak meli penize i na inteligentnejsi firewall.
Uz od zacatku to nevypadalo na krizovy pripad, protoze logovat uplne
vsechno neni zadna sranda...

-- 
                        Milan Kerslager
                        E-mail: milan.kerslager na pslib.cz
                        WWW:    http://www.spsselib.hiedu.cz/~kerslage/