SYN Flood

David Rohleder davro na ics.muni.cz
Středa Září 26 15:01:56 CEST 2001 

milan.kerslager na spsselib.hiedu.cz (Milan Kerslager) writes:

> On 26 Sep 2001, David Rohleder wrote:
> 
> > > Spise jde o to, ze podle zkusenosti z akademicke site (linky 10Mbps,
> > > 100Mbps, 2.5 Gbps) nema cenu se zabyvat nejakymi SYN datagramy nebo
> >
> > Ono to na tech 2.5 Gbps ani nejde, protoze ty zdechliny co to routuji
> > (nebo spise switchuji) neumi access-listy na interface :-) A navic by
> > to ani neutahly.
> 
> Hm, tady na TU Liberec je Cisco 12000 Gigabit Switch Router a myslim, ze
> to neni az takova vykopavka :-)

U nas jsou dva :-) 12016-P a 12016-PE. A uprimne, cena za 1 port
pohybujici se v sedmimistnych cislech, za to bych ocekaval jine
vlastnosti. Ale porad to neni juniper. Ten by byl asi jeste drazsi.


(pro neobeznamene: cisco 12016 ma rozmery priblizne 50x50x180cm, tri
zdroje a tretinu skrine zaplnuji vysokorychlostni vetraky - tri metry
za nim vam svisti vitr kolem usi :-)

> 
> > > scannovanim (stejne to delaji skripty na hacknutych masinach - tedy pokud
> > > nechcete svuj cas utracet na hlidani cizich stroju). Lepsi je se zabyvat
> > > tim, co skrz firewall skutecne projde (resp. prochazi).
> > >
> > > Stejne tak nema smysl sledovat SYNy na WWW server, dokud nezacne byt
> > > pretizeny. Je to jen ztrata casu. Lepsi je se pripravit na pripadny DoS
> > > utok a mit po ruce nastroje na jeho uspesne odvraceni (a reportovani -
> > > samozrejme).
> >
> > No sledovat SYNy na nejaky server mi pripadne pomerne rozumne, alespon
> > pak mam priznak toho, ze se opravdu jedna o SYN utok, kdyz dojde k
> > vyraznemu zvetseni poctu techto paketu.
> >
> > Stejne tak je rozumne sledovat pocet polootevrenych spojeni (dusledek
> > SYN utoku), atd.
> 
> To vypada na profesionalni reseni... :-) Jenze kdyz jim nekdo tu 64kbs
> linku zacpe, tak jim je sledovani stejne na nic, leda ze by meli domluvu s
> providerem nebo u nej aspon vlastni router (takze to vlasne stejne jen
> zase jen krizove reseni, ale na to jsou nastroje a admin by do tho musel
> cumet cely den). Ale to by pak meli penize i na inteligentnejsi firewall.
> Uz od zacatku to nevypadalo na krizovy pripad, protoze logovat uplne
> vsechno neni zadna sranda...

Pokud se jim nekdo rozhodne zaplacat 64Kb linku, tak jim nepomuze ani
svecena voda :-)

-- 
-------------------------------------------------------------------------
David Rohleder						davro na ics.muni.cz
Institute of Computer Science, Masaryk University
Brno, Czech Republic
-------------------------------------------------------------------------

Další informace o konferenci Linux