From: Berker (gokturkberker@yahoo.com)
Date: Wed 25 Aug 2004 - 14:44:35 EEST
Selamlar...
Kucuk bir agda tcpdump, hping2, iptables ile paketler
gonderip aliyor, denemeler yapiyor ve neler oluyormus
diye paketleri inceliyordum... Sonra aklima hping ile
syn flood yapma fikri geldi...
kaynak adresi degistirilmis syn bayrakli paketlerden
hedef makinemin 80 portuna gonderebildigim en hizli
sekilde gondermek icin asagidaki komutu kullandim.
hping2 -S -p 80 -i u1 -a 192.168.0.250 192.168.0.3
Hedef makinenin 192.168.0.250 IP adresli makine kimdir
diye yaptigi ARP sorgularini tcpdump ciktisinda
gotunuyor. Ancak hedef sistemin pek etkilendigini
soyleyemem.
Merak ettigim konu bu sekilde ciddi anlamda bir syn
flood saldirisi yapmak mumkun olur mu?
Eger mumkun ise bu tur bir saldiriyi engellemek icin
sadece ilgili kaynaktan gelen paketleri filtrelemek
yeterli olacak midir? Cozum olarak bunu dusundum ama
asagidaki sekilde paketler gonderince cozumum ise
yaramadi?
Birisi "hping2 -S -p 80 -i u1 --rand-source
192.168.0.3"
seklinde bir komutla rasgele kayanaklardan geliyormus
gibi gorunen paketleri yollamaya baslarsa buna karsi
ne gibi bir onlem alinabilir? Birim zaman icerisinde,
belirli bir kaynaktan gelen n sayida syn istegine izin
vermek, daha fazlasini engellemek cozum olabilir mi?
Bu sekilde spoof edilerek gonderilmis paketlere
bakarak paketlerin ciktigi gercek kaynagin
bulunabilmesi mumkun gorunmuyor ama paketlerin geldigi
gercek kaynagi bir sekilde bulmanın bir yolu var
mi?
Vakit ayirdiginiz icin tesekkurler.
Saygilarimla...
Berker Gokturk
_______________________________
Do you Yahoo!?
Win 1 of 4,000 free domain names from Yahoo! Enter now.
http://promotions.yahoo.com/goldrush