ddos atak na http [inac]
Milan Kerslager
milan.kerslager na pslib.cz
Pátek Červen 27 14:25:20 CEST 2003
> > Nevyzaduje to zadne rozsireni klienta, protoze to spoleha na to, ze
> > syngronizacni cisla mohou byt jakakoliv a server voli cislo pomoci
> > specialniho algoritmu, takze odpoved muze overit. Registrace TCP
> > spojeni tak zabere jen par byte a
>
> Registrace TCP spojeni nezabere se SYN cookie v prvnim kroku na serveru
> *vubec zadnou pamet* (v tom je prave ten vtip). Server vsechno zapomene
> (a to, na co si potrebuje vzpomenout (v podstate jen 3 bitova redukovana
> informace o MSS), si poznamena do sekvencniho cisla). Spojeni je
> fakticky vytvoreno az v tretim kroku (ACK od klienta) a pak zase zabira
> tolik pameti jako kazde jine TCP spojeni.
Do sekvencniho cisla se uklada cas (5 bitu), MSS (3 bity, tedy 8
moznosti), a do zbylych 24 bitu cas, IP adresy a porty klienta i
serveru. Server si musi pamatovat i funkci pro dekodovani, ale ta
skutecne neni pro kazdy SYN jina, sorry.
--
Milan Kerslager
E-mail: milan.kerslager na pslib.cz
WWW: http://www.pslib.cz/~kerslage/
Další informace o konferenci Linux