ddos atak na http [inac]

Milan Kerslager milan.kerslager na pslib.cz
Středa Červen 25 16:10:15 CEST 2003


On Wed, Jun 25, 2003 at 07:18:50AM +0200, Michal Truban wrote:
> > Linux na to ma syn cookies: pokud je moc zajemcu o otevreni spojeni, pak
> > server po prvnim SYN posle odpoved (SYN+ACK) majici specialne generovane
> > sekvencni cislo a vsechno zapomene. Teprve kdyz prijde odpoved od klienta
> > (ACK), ktery potvrzuje vhodne vypadajici sekvencni cislo, tak se vytvori
> > prislusne datove struktury a nahlasi se to do userlandu.
> 
> syn cookie ? :)..
> neviete ako na toto ?

echo 1 > /proc/sys/net/ipv4/tcp_syncookies (ten adresar jsem Vam uz
nabizel)

Nevyzaduje to zadne rozsireni klienta, protoze to spoleha na to, ze
syngronizacni cisla mohou byt jakakoliv a server voli cislo pomoci
specialniho algoritmu, takze odpoved muze overit. Registrace TCP spojeni
tak zabere jen par byte a Apache to dostane az po overeni, ze to klinet
"mysli s otevrenim spojeni vazne".

Ale jestli vas hammeruji skutecnymi pozadavky na Apache, pak to
nepomuze.

> tie IP su uplne nahodne generovane, takze do FW to nema vyznam davat
> po jednom,alebo po sietiach...

Proto jsem doporucoval podivat se netstatem na stav spojeni, coz jste
neudelal. To se pak tezko radi, kdyz tady jen brecite.

> do datacentra som uz pisal, neozvali sa zatial.
> 
> jedine zeby fakt pomohla naka feautures alebo to len preckat
> a modlit sa, nech sa to neopakuje....

-- 
                        Milan Kerslager
                        E-mail: milan.kerslager na pslib.cz
                        WWW:    http://www.pslib.cz/~kerslage/


Další informace o konferenci Linux