Автор Тема: Проблем с syn flood  (Прочетена 5418 пъти)

sasho0o

  • Участници
  • ***
  • Публикации: 3
    • Профил
Проблем с syn flood
« -: Jun 25, 2009, 03:57 »
...
« Последна редакция: Jun 26, 2009, 19:53 от sasho0o »
Активен

arda_kj

  • Напреднали
  • *****
  • Публикации: 631
  • Distribution: Debian Sid/Unstable; Ubuntu 12.04
  • Window Manager: Gnome/KDE
    • Профил
Re: Проблем с syn flood
« Отговор #1 -: Jun 25, 2009, 04:46 »
Предпоследния пост тук http://www.linux-bg.org/forum/index.php?topic=34304.0 трябва да ти свърши работа.
Активен

Debian Sid/Unstable; Ubuntu 12.04
"За да открием истината, е нужно поне веднъж в живота си да подложим всичко на съмнение" - Р. Декарт

neter

  • Global Moderator
  • Напреднали
  • *****
  • Публикации: 3408
  • Distribution: Debian, SailfishOS, CentOS
  • Window Manager: LXDE, Lipstick
    • Профил
    • WWW
Re: Проблем с syn flood
« Отговор #2 -: Jun 25, 2009, 08:59 »
Това е spoof атака - атакуващият променя IP адресите в хедърите на пакетите динамично и тези пакети пристигат при теб с измислени IP-та и не съдържат IP-то на източника, така че колкото и IP-та да изрежеш (освен, ако не изрежеш всички, или поне клонящо към всички), няма да спреш атаката от самата машина. Нужен ти е Stateful Packet Inspection (SPI). Той се прави от машина, която седи пред твоята машина и филтрира трафика с действие на защитна стена. Можеш да използваш хардуерна или софтуерно изградена защитна стена. При софтуерно изградената защитна стена трябва да сложиш един компютър отпред, да му качиш ОС и да вкараш правила за SPI. По-лесно е с хардуерна защитна стена - това са устройства, пригодени за тази цел, и в повечето случаи не се нуждаят от допълнителна настройка, различна от тази по подразбиране. Не съм запознат с хардуерните защитни стени, така че, ако някой е запознат, нека предложи някоя. Знам, че някои рутери предоставят и SPI защита, така че ще ти свърши работа и едно такова рутерче, което да седи пред твоята машина. Можеш да попиташ в някой компютърен магазин за рутер със SPI защита или, ако продавачът не разбере за какво говориш, да му обясниш ситуацията и може да се сети за устройство с такава защита, което предлагат.

Да си обърнал внимание към кой порт или няколко порта е насочена атаката, или е към много портове? И имаш ли слушащи услуги на тези портове?
« Последна редакция: Jun 25, 2009, 09:49 от neter »
Активен

"Да си добре приспособен към болно общество не е признак за добро здраве" - Джиду Кришнамурти

VladSun

  • Напреднали
  • *****
  • Публикации: 2166
    • Профил
Re: Проблем с syn flood
« Отговор #3 -: Jun 25, 2009, 09:35 »
http://en.wikipedia.org/wiki/SYN_cookies

Пробвай да активираш опцията:
Код
GeSHi (Bash):
  1. sysctl -w net.ipv4.tcp_syncookies="1"
Активен

KISS Principle ( Keep-It-Short-and-Simple )
http://openfmi.net/projects/flattc/
Има 10 вида хора на този свят - разбиращи двоичния код и тези, които не го разбират :P

VladSun

  • Напреднали
  • *****
  • Публикации: 2166
    • Профил
Re: Проблем с syn flood
« Отговор #4 -: Jun 25, 2009, 09:46 »
Едно хубаво четиво:

http://www.cromwell-intl.com/security/security-stack-hardening.html

:)
Активен

KISS Principle ( Keep-It-Short-and-Simple )
http://openfmi.net/projects/flattc/
Има 10 вида хора на този свят - разбиращи двоичния код и тези, които не го разбират :P

gat3way

  • Напреднали
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Re: Проблем с syn flood
« Отговор #5 -: Jun 25, 2009, 10:36 »
Значи по мои наблюдения, много малко доставчици, поне в България са останали, които да позволяват пакети с подправени адреси да напускат border рутерите им. Поради простата причина че слагат разни acl-и, които режат такива лоши трафици. Дори навремето беше рядкост, обаче такова нещо не съм виждал от години честно казано. Предишният ми доставчик беше малък квартален ЛАН (впоследствие закупен от мегалан), та там успявах да изкарвам подправени пакети единствено с адресите на други хостове от същия събнет.

Разбира се, в рамките на един и същ етернет сегмент, няма никакъв проблем да си подправяш пакети с какъвто си искаш сорс адрес, защото няма рутер по пътя, който да ги дропва.

Така че с огромна вероятност, SYN flood-a идва от някой умник от твоята мрежа, с по-малка вероятност оригинира от някое място, където такива неща не се режат.

Ако идват от твоята мрежа, тогава може би wireshark ще ти догатне че source MAC адреса не е този на gateway-a, ами на някой досадник? И после евентуално можеш да си направиш едно iptables правило да не си говориш с него :)

Разбира се, лошият гад може да се опита да си spoof-ва и хардуерния адрес, ако е достатъчно лош.

А иначе, ако имаш включена подръжка на syncookies, няма какво толкова да се притесняваш (донякъде това става малък проблем ако сервираш големи файлове - защо е така е дълго за обяснение).
Активен

"Knowledge is power" - France is Bacon

sasho0o

  • Участници
  • ***
  • Публикации: 3
    • Профил
Re: Проблем с syn flood
« Отговор #6 -: Jun 25, 2009, 12:35 »
...
« Последна редакция: Jun 26, 2009, 19:53 от sasho0o »
Активен

teh

  • Напреднали
  • *****
  • Публикации: 56
    • Профил
Re: Проблем с syn flood
« Отговор #7 -: Jun 25, 2009, 18:34 »
@neter:
Вкарали сте се в някакъв филм с тоя spoof. Дето вика gat3way това е било масово възможно преди повече от 10 години - сега е почти невъзможно да се случи. Сега предимно такива ddos неща идват от автоматизирани botnets.

@all:
Автора пише syn flood ама всъщо пита за друго явно (не е дал достатъчно информация), втори го праща към неработещо решение със заглавие "udp flood", neter вика spoof а VladSun дава правилното решение за syn flood, но това май не е случая на автора. Пълна идилия ;-)
Активен

neter

  • Global Moderator
  • Напреднали
  • *****
  • Публикации: 3408
  • Distribution: Debian, SailfishOS, CentOS
  • Window Manager: LXDE, Lipstick
    • Профил
    • WWW
Re: Проблем с syn flood
« Отговор #8 -: Jun 25, 2009, 20:24 »
Вкарали сте се в някакъв филм с тоя spoof.
Просто наскоро ми се случи и още ме болят венците от стискане на зъби от яд, че машината не е в България и нямам физически достъп до нея, а кретените от съпорт центъра там се мотаха 9 дена, докато сложат защита пред нея и... както и да е, не е за разправяне каква лудница беше. В последствие, по косвени пътища разбрах, че атаката е идвала от Русия, а машината не е в Русия. Така че бая път са изминали тези пакети. Нямам добра обща информация за защитите, които осигуряват доставчиците в България, тъй като изключително рядко сменям доставчиците си, но щом масово осигуряват такава защита, това е похвално. Spoof атаките са си... досадна работа :)
Активен

"Да си добре приспособен към болно общество не е признак за добро здраве" - Джиду Кришнамурти

gat3way

  • Напреднали
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Re: Проблем с syn flood
« Отговор #9 -: Jun 25, 2009, 20:45 »
В глобален мащаб нещата уж изглеждат нещо от сорта на това:



Обаче тези сметки според мен са доста хвърковати.


Защитата против подправените пакети се състои в acl правила при border рутерите на доставчиците. За транзитния трафик е сложно и безсмислено да се правят такива упражнения, затова ако успее да излезе такъв пакет навън, най-вероятно ще стигне дотам закъдето са го изпратили.

И както казва teh...в днешни дни гаменчетата имат ботнети със стотици и хиляди хостове и DDoS атаките им  са доста по-зли защото така може да се завършва TCP handshake-a и да се пращат валидни заявки...от доста източници едновременно. Ходи после филтрирай.
« Последна редакция: Jun 25, 2009, 20:56 от gat3way »
Активен

"Knowledge is power" - France is Bacon

Подобни теми
Заглавие Започната от Отговора Прегледи Последна публикация
Защита от udp flood
Системна Сигурност
newuser1 8 7765 Последна публикация May 06, 2009, 16:05
от gat3way
Iptables & UDP Flood (спешно)
Настройка на програми
Breakfist 6 4356 Последна публикация Aug 02, 2010, 15:35
от borovaka
anti-flood за Apache помощ
Системна Сигурност
Muxo 0 2795 Последна публикация Aug 16, 2010, 02:04
от Muxo
Iptables защита против DoSHTTP Flood?
Настройка на програми
freedj 8 3918 Последна публикация Sep 19, 2010, 00:27
от freedj
Flood на apache
Системна Сигурност
carbonated 1 3199 Последна публикация Jan 29, 2011, 18:25
от kip