ddos atak na http [inac]
Pavel Kankovsky
peak na argo.troja.mff.cuni.cz
Čtvrtek Červen 26 09:08:37 CEST 2003
On Wed, 25 Jun 2003, Milan Kerslager wrote:
> Nevyzaduje to zadne rozsireni klienta, protoze to spoleha na to, ze
> syngronizacni cisla mohou byt jakakoliv a server voli cislo pomoci
> specialniho algoritmu, takze odpoved muze overit. Registrace TCP spojeni
> tak zabere jen par byte a
Registrace TCP spojeni nezabere se SYN cookie v prvnim kroku na serveru
*vubec zadnou pamet* (v tom je prave ten vtip). Server vsechno zapomene
(a to, na co si potrebuje vzpomenout (v podstate jen 3 bitova redukovana
informace o MSS), si poznamena do sekvencniho cisla). Spojeni je fakticky
vytvoreno az v tretim kroku (ACK od klienta) a pak zase zabira tolik
pameti jako kazde jine TCP spojeni.
> Apache to dostane az po overeni, ze to klinet "mysli s otevrenim
> spojeni vazne".
Kdysi davno byly casy, kdy accept() hlasilo na Linuxu nove spojeni do
userlandu hned po prvnim kroku (SYN), a tudiz byl z userlandu
pozorovatelny rozdil mezi normalnim spojenim a spojenim navazanym pomoci
SYN cookie, nicmene ted uz to davno neplati a Linux se chova jako
prakticky kazdy jiny system a accept() se vzdycky vraci az po tretim a
poslednim kroku navazovani spojeni (coz ma tu "vyhodu", ze SYN scan je ted
"stealth" i proti Linuxu <g>).
--Pavel Kankovsky aka Peak [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."
Další informace o konferenci Linux