From: Can Erkin Acar (can.acar@pro-g.com.tr)
Date: Thu 26 Aug 2004 - 11:25:06 EEST
A. Murat Eren wrote:
> Merhabalar,
>
>On Wednesday 25 August 2004 14:44, Berker G?KT?RK wrote:
>
>
>>Eger mumkun ise bu tur bir saldiriyi engellemek icin
>>sadece ilgili kaynaktan gelen paketleri filtrelemek
>>yeterli olacak midir? Cozum olarak bunu dusundum ama
>>asagidaki sekilde paketler gonderince cozumum ise
>>yaramadi?
>>
>>
>
>]# echo "1" > /proc/sys/net/ipv4/tcp_syncookies
>
>
> sys flood saldirilarini yoksek oranda onlemek icin iyi bir yoldur.
>
>
Ancak bu yontem sadece ayarin yapildigi makinayi korur,
makina bir firewall ise arkasindakiler korunmayacaktir.
>>Birisi "hping2 -S -p 80 -i u1 --rand-source
>>192.168.0.3"
>>seklinde bir komutla rasgele kayanaklardan geliyormus
>>gibi gorunen paketleri yollamaya baslarsa buna karsi
>>ne gibi bir onlem alinabilir? Birim zaman icerisinde,
>>belirli bir kaynaktan gelen n sayida syn istegine izin
>>vermek, daha fazlasini engellemek cozum olabilir mi?
>>
>>
>
> Yukardaki komut yine bu saldirilarin etkisini azaltabilir. Tabi bu yuklu
>aglarda ayni zamanda network'un efektif kullanilamamasina da yol acar, cunku
>bu sekilde gelen her syn icin sunucu syn'nin geldigi ip adresini bir ping
>paketi ile kontrol ederek adresin varligindan emin olmaya calisir,
>ulasamadigi makinelerden gelen syn'leri ise dikkate almaz boylece.
>
>
Bu tarz calisan yontemler var, tabii gercek bir 'ping' gondermiyorlar.
genelde pencere disi bir ACK gonderip RST gelmesini bekliyorlar
Linux syn-cookieleri ise bu sekilde calismiyor.
SYN flood lardaki esas problem, her gelen SYN icin baglanti kurulana kadar
bir bellek alani ayrilmasi zorunlulugu. Bu ayrilan alan dolunca da yeni
baglanti
kabul edilemiyor. Bunun syn-cookie ile cozumunde, gelen SYN paketlerindeki
ozellikler icin bir kriptografik hash hesaplaniyor, ve bu hash cevap
olarak sira
numarasi icerisinde gonderiliyor, herhangi bir bellek kullanilmiyor.
Gelen syn-ack paketlerindeki sira numaralari kontrol ediliyor, ayni hash
tutuyorsa
baglanti kabul ediliyor. Bu yontemin dezavantaji ise, birden fazla
paketin ayni
hash degerlerini saglayabilecek olmasi. Bu nedenle daha once uygulamadan
dogan
DoS ve filtre-bypass gibi zayifliklar ortaya cikmisti.
> 1. firewall'dan fazla sayidan syn'ler bloke edilebilir, serdar hocanin
>http://seminer.linux.org.tr/seminer-notlari.php adresinden notlarini
>alabileceginiz notlarinda var.
>
> 2. qos kontrolu ile syn flood'larin hizi azaltilabilir.. bandwith'i daraltip
>gelen paket sayisini belirli bir sinirda tutmak buffer patlatmaktan iyidir
>diyor serdar hoca (ona sorup buraya yaziyorum)..
>
>
Ayrica bir takim firewall'larda (netfilter icin bulamadim) syn-proxy
ozelligi
var. Firewall baglantiyi kendisi tamamlayip, baglanti tamamlandiktan
sonra arkadaki sunucuya baglaniyor.
>>Bu sekilde spoof edilerek gonderilmis paketlere
>>bakarak paketlerin ciktigi gercek kaynagin
>>bulunabilmesi mumkun gorunmuyor ama paketlerin geldigi
>>gercek kaynagi bir sekilde bulmanın bir yolu var
>>mi?
>>
>>
>
> Varmis. Fakat bir hayli zormus :) Teknik kuvvetten ziyade, maddi kuvvet ile
>dogru orantili olarak bir seyler yapilabiliyor. Gelen pakedi gittigi
>router'lar boyunca sorgulayabiliyor banka gibi buyuk kuruluslar nerden
>geldigini tespit etmek icin.
>
>
> Selamlar.
>
>