From: A. Murat Eren (meren@comu.edu.tr)
Date: Wed 25 Aug 2004 - 12:19:46 EEST
Merhabalar,
On Wednesday 25 August 2004 14:44, Berker GÖKTÜRK wrote:
> Eger mumkun ise bu tur bir saldiriyi engellemek icin
> sadece ilgili kaynaktan gelen paketleri filtrelemek
> yeterli olacak midir? Cozum olarak bunu dusundum ama
> asagidaki sekilde paketler gonderince cozumum ise
> yaramadi?
]# echo "1" > /proc/sys/net/ipv4/tcp_syncookies
sys flood saldirilarini yoksek oranda onlemek icin iyi bir yoldur.
> Birisi "hping2 -S -p 80 -i u1 --rand-source
> 192.168.0.3"
> seklinde bir komutla rasgele kayanaklardan geliyormus
> gibi gorunen paketleri yollamaya baslarsa buna karsi
> ne gibi bir onlem alinabilir? Birim zaman icerisinde,
> belirli bir kaynaktan gelen n sayida syn istegine izin
> vermek, daha fazlasini engellemek cozum olabilir mi?
Yukardaki komut yine bu saldirilarin etkisini azaltabilir. Tabi bu yuklu
aglarda ayni zamanda network'un efektif kullanilamamasina da yol acar, cunku
bu sekilde gelen her syn icin sunucu syn'nin geldigi ip adresini bir ping
paketi ile kontrol ederek adresin varligindan emin olmaya calisir,
ulasamadigi makinelerden gelen syn'leri ise dikkate almaz boylece.
1. firewall'dan fazla sayidan syn'ler bloke edilebilir, serdar hocanin
http://seminer.linux.org.tr/seminer-notlari.php adresinden notlarini
alabileceginiz notlarinda var.
2. qos kontrolu ile syn flood'larin hizi azaltilabilir.. bandwith'i daraltip
gelen paket sayisini belirli bir sinirda tutmak buffer patlatmaktan iyidir
diyor serdar hoca (ona sorup buraya yaziyorum)..
> Bu sekilde spoof edilerek gonderilmis paketlere
> bakarak paketlerin ciktigi gercek kaynagin
> bulunabilmesi mumkun gorunmuyor ama paketlerin geldigi
> gercek kaynagi bir sekilde bulmanın bir yolu var
> mi?
Varmis. Fakat bir hayli zormus :) Teknik kuvvetten ziyade, maddi kuvvet ile
dogru orantili olarak bir seyler yapilabiliyor. Gelen pakedi gittigi
router'lar boyunca sorgulayabiliyor banka gibi buyuk kuruluslar nerden
geldigini tespit etmek icin.
Selamlar.
--- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- - A. Murat Eren meren@uludag.org.tr, meren@comu.edu.tr http://cekirdek.uludag.org.tr/~meren/ 0x88FD9FC7, 910A FCB3 2AAB 4CA5 E4D9 EFFA 6555 A33A 88FD 9FC7 - -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -
-- free software is a matter of liberty, not price. to understand the concept, you should think of "free speech", not "free beer". -