syn flood?
volesak na aristia.cz
volesak na aristia.cz
Neděle Listopad 9 20:29:35 CET 2003
Tak jeste pro uplnost:
v linux na linux.cz thread
ddos atak na http [inac]
Honza
P.S. Vybiram:
On Tue, 24 Jun 2003, Petr Simek wrote:
> Nevim jestli linux, ale cisco firewall umi tyhle pakety otvirajici
> spojeni sledovat a kdyz vcas neprijde potvrzeni tak posle cilovemu
> vnitrnimu pocitaci paket ukoncujici spojeni. Kdyz je moc otevrenych
> spojeni nez limit tak zacne ty nejstarsi pootevrena rychle zabijet aby
> udrzel nejaky limit otevrenych. Ale myslim ze na to musi byt
> firewall-ovaci IOS ..
Linux na to ma syn cookies: pokud je moc zajemcu o otevreni spojeni, pak
server po prvnim SYN posle odpoved (SYN+ACK) majici specialne generovane
sekvencni cislo a vsechno zapomene. Teprve kdyz prijde odpoved od klienta
(ACK), ktery potvrzuje vhodne vypadajici sekvencni cislo, tak se vytvori
prislusne datove struktury a nahlasi se to do userlandu.
Jenze podle toho, co z tazatele nakonec vypadlo, se zda, ze to jsou
kompletne otevrena spojeni, pres ktera dokonce chodi i nejake HTTP
pozadavky.
--Pavel Kankovsky aka Peak [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."
###############
On Wed, Jun 25, 2003 at 07:18:50AM +0200, Michal Truban wrote:
> > Linux na to ma syn cookies: pokud je moc zajemcu o otevreni spojeni,
> > pak server po prvnim SYN posle odpoved (SYN+ACK) majici specialne
> > generovane sekvencni cislo a vsechno zapomene. Teprve kdyz prijde
> > odpoved od klienta (ACK), ktery potvrzuje vhodne vypadajici
> > sekvencni cislo, tak se vytvori prislusne datove struktury a nahlasi
> > se to do userlandu.
>
> syn cookie ? :)..
> neviete ako na toto ?
echo 1 > /proc/sys/net/ipv4/tcp_syncookies (ten adresar jsem Vam uz
nabizel)
Nevyzaduje to zadne rozsireni klienta, protoze to spoleha na to, ze
syngronizacni cisla mohou byt jakakoliv a server voli cislo pomoci
specialniho algoritmu, takze odpoved muze overit. Registrace TCP spojeni tak
zabere jen par byte a Apache to dostane az po overeni, ze to klinet "mysli s
otevrenim spojeni vazne".
Ale jestli vas hammeruji skutecnymi pozadavky na Apache, pak to nepomuze.
> tie IP su uplne nahodne generovane, takze do FW to nema vyznam davat
> po jednom,alebo po sietiach...
Proto jsem doporucoval podivat se netstatem na stav spojeni, coz jste
neudelal. To se pak tezko radi, kdyz tady jen brecite.
> do datacentra som uz pisal, neozvali sa zatial.
>
> jedine zeby fakt pomohla naka feautures alebo to len preckat a modlit
> sa, nech sa to neopakuje....
--
Milan Kerslager
E-mail: milan.kerslager na pslib.cz
WWW: http://www.pslib.cz/~kerslage/
Další informace o konferenci Sendmail