syn flood?

volesak na aristia.cz volesak na aristia.cz
Neděle Listopad 9 20:29:35 CET 2003 

Tak jeste pro uplnost:
v linux na linux.cz thread 
ddos atak na http [inac]
Honza

P.S. Vybiram:
On Tue, 24 Jun 2003, Petr Simek wrote:

> Nevim jestli linux, ale cisco firewall umi tyhle pakety otvirajici 
> spojeni sledovat a kdyz vcas neprijde potvrzeni tak posle cilovemu 
> vnitrnimu pocitaci paket ukoncujici spojeni. Kdyz je moc otevrenych 
> spojeni nez limit tak zacne ty nejstarsi pootevrena rychle zabijet aby 
> udrzel nejaky limit otevrenych. Ale myslim ze na to musi byt 
> firewall-ovaci IOS ..

Linux na to ma syn cookies: pokud je moc zajemcu o otevreni spojeni, pak
server po prvnim SYN posle odpoved (SYN+ACK) majici specialne generovane
sekvencni cislo a vsechno zapomene. Teprve kdyz prijde odpoved od klienta
(ACK), ktery potvrzuje vhodne vypadajici sekvencni cislo, tak se vytvori
prislusne datove struktury a nahlasi se to do userlandu.

Jenze podle toho, co z tazatele nakonec vypadlo, se zda, ze to jsou
kompletne otevrena spojeni, pres ktera dokonce chodi i nejake HTTP
pozadavky.

--Pavel Kankovsky aka Peak  [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."

###############

On Wed, Jun 25, 2003 at 07:18:50AM +0200, Michal Truban wrote:
> > Linux na to ma syn cookies: pokud je moc zajemcu o otevreni spojeni, 
> > pak server po prvnim SYN posle odpoved (SYN+ACK) majici specialne 
> > generovane sekvencni cislo a vsechno zapomene. Teprve kdyz prijde 
> > odpoved od klienta (ACK), ktery potvrzuje vhodne vypadajici 
> > sekvencni cislo, tak se vytvori prislusne datove struktury a nahlasi 
> > se to do userlandu.
> 
> syn cookie ? :)..
> neviete ako na toto ?

echo 1 > /proc/sys/net/ipv4/tcp_syncookies (ten adresar jsem Vam uz
nabizel)

Nevyzaduje to zadne rozsireni klienta, protoze to spoleha na to, ze
syngronizacni cisla mohou byt jakakoliv a server voli cislo pomoci
specialniho algoritmu, takze odpoved muze overit. Registrace TCP spojeni tak
zabere jen par byte a Apache to dostane az po overeni, ze to klinet "mysli s
otevrenim spojeni vazne".

Ale jestli vas hammeruji skutecnymi pozadavky na Apache, pak to nepomuze.

> tie IP su uplne nahodne generovane, takze do FW to nema vyznam davat 
> po jednom,alebo po sietiach...

Proto jsem doporucoval podivat se netstatem na stav spojeni, coz jste
neudelal. To se pak tezko radi, kdyz tady jen brecite.

> do datacentra som uz pisal, neozvali sa zatial.
> 
> jedine zeby fakt pomohla naka feautures alebo to len preckat a modlit 
> sa, nech sa to neopakuje....

-- 
                        Milan Kerslager
                        E-mail: milan.kerslager na pslib.cz
                        WWW:    http://www.pslib.cz/~kerslage/

Další informace o konferenci Sendmail