ddos atak na http [inac]

[Pavel Kankovsky]

On Wed, 25 Jun 2003, Milan Kerslager wrote:

> Nevyzaduje to zadne rozsireni klienta, protoze to spoleha na to, ze
> syngronizacni cisla mohou byt jakakoliv a server voli cislo pomoci
> specialniho algoritmu, takze odpoved muze overit. Registrace TCP spojeni
> tak zabere jen par byte a

Registrace TCP spojeni nezabere se SYN cookie v prvnim kroku na serveru
*vubec zadnou pamet* (v tom je prave ten vtip). Server vsechno zapomene
(a to, na co si potrebuje vzpomenout (v podstate jen 3 bitova redukovana
informace o MSS), si poznamena do sekvencniho cisla). Spojeni je fakticky
vytvoreno az v tretim kroku (ACK od klienta) a pak zase zabira tolik
pameti jako kazde jine TCP spojeni.

> Apache to dostane az po overeni, ze to klinet "mysli s otevrenim
> spojeni vazne".

Kdysi davno byly casy, kdy accept() hlasilo na Linuxu nove spojeni do
userlandu hned po prvnim kroku (SYN), a tudiz byl z userlandu
pozorovatelny rozdil mezi normalnim spojenim a spojenim navazanym pomoci
SYN cookie, nicmene ted uz to davno neplati a Linux se chova jako
prakticky kazdy jiny system a accept() se vzdycky vraci az po tretim a
poslednim kroku navazovani spojeni (coz ma tu "vyhodu", ze SYN scan je ted
"stealth" i proti Linuxu <g>).


--Pavel Kankovsky aka Peak  [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."