Avatar billede lazymann Nybegynder
23. august 2004 - 20:59 Der er 15 kommentarer

Hvad er TCP SYN Flooding

Hej,

Firewallen i min router er begyndt at reportere TCP SYN Flooding, Hvad er det?

Det ser nogenlunde sådan ud..
2004/08/23 20:56:22 ** TCP SYN Flooding ** <IP/TCP> 192.168.1.96:1339 ->> 217.125.219.2:445
2004/08/23 20:56:23 ** TCP SYN Flooding ** <IP/TCP> 192.168.1.96:1981 ->> 144.157.188.82:445
2004/08/23 20:56:24 ** TCP SYN Flooding ** <IP/TCP> 192.168.1.96:2025 ->> 62.42.1.207:445
2004/08/23 20:56:25 ** TCP SYN Flooding ** <IP/TCP> 192.168.1.96:2094 ->> 192.168.125.61:445
2004/08/23 20:56:26 ** TCP SYN Flooding ** <IP/TCP> 192.168.1.96:2174 ->> 82.224.137.165:445
2004/08/23 20:56:28 ** TCP SYN Flooding ** <IP/TCP> 192.168.1.96:1566 ->> 41.52.202.14:445
2004/08/23 20:56:28 ** TCP SYN Flooding ** <IP/TCP> 192.168.1.96:1798 ->> 123.12.136.254:445
2004/08/23 20:56:28 ** TCP SYN Flooding ** <IP/TCP> 192.168.1.96:1842 ->> 20.102.58.241:445

Hvordan for man det til at holde op? siden det er det der får mine ping tider til at stige når jeg spiller. Jeg har har formateret min harddisk helt så der ikke er andet end windows tilbage på den, men den forsætter alligevel.

på forhånd tak

/Jakob
Avatar billede kalb Nybegynder
23. august 2004 - 21:08 #1
Avatar billede lazymann Nybegynder
23. august 2004 - 21:14 #2
Fatter hat af hvad de skriver på det link. Jeg er ikke istand til at modificere TCP protokollen.

Så hvis der er nogen som kan oversætte til almindelig forstålig dansk ville det være dejligt
Avatar billede kalb Nybegynder
23. august 2004 - 21:42 #3
Avatar billede kenp Novice
23. august 2004 - 21:52 #4
Det er vist bare blaster eller en af de andre orme som forsøger at komme igennem din router! men kan ikke helt se på din log om det er ind, eller ud (tror det er ind)
Avatar billede squashguy Nybegynder
23. august 2004 - 22:08 #5
SYN er den parameter man bruger ved TCP, når en ny forbindelse skal oprettes.

Ud fra pilens retning, vil jeg sige din maskine forsøger at oprette en masse forbindelser ud af huset, til en masse forskellige computere på port 445. Dette er tegn på sasser-ormen.
Avatar billede bufferzone Praktikant
23. august 2004 - 22:09 #6
Her kommer forklaringen.

Når du etablere en tcp forbindelse sker det altid via et såkaldt 3-way TCP handshake. Dette sker således:

Din maskine sender en SYN pakke til modtagerens maskine
Modtagerens maskine afsætter et lille stykke hukommelse og sender en ACK pakke samt en SYN pakke til din maskine.
Din maskine afsætter lidt hukommelse og sender en ACK pakke til modtagerens maskine.

Hvis du kikker efter har begge maskiner ny sendt en syn pakke der er blevet accepteret med en ack pakke og tovejs forbindelsen er skabt

Et syn flodding angreb udføres således

Din maskine bombardere modstanderens maskine med syn pakker. Hver gang afsætter modtagerens maskine et lille stykke hukommelse og sender en ack pakke.
Din maskine er konfigureret til at ignorere alle ack pakker fra modtageren og bare fortsætte med at syn flodde ham. Tilsidst vil modtagerens maskine ikke have mere hukommelse og gå ned lige så længe du flodter hem
Avatar billede bufferzone Praktikant
23. august 2004 - 22:13 #7
Et normalt syn flod angreb kan laves mod de fleste sites med 4 til 5 linux maskiner og en 2 Mbit forbindelse. Du kan ikke sikre dig imod dette, men du kan optimere din firewall til bedre at modtså disse angreb. Dette gøres ved at sætte den tid, det lille stykke hukommelse der afsættes, holdes aktivt ned, dvs hukommelsen frigives hurtigere.

Nogle firewalls er bedre til dette end andre.

Disse syun flod angreb har bl.a. været andvendt med succes mod Ladbrouks og vist også unibet af russiske hackere der ville afpredse dem til at betale for ikke at blive syn floddet i timerne op til store kampe
Avatar billede bufferzone Praktikant
23. august 2004 - 22:15 #8
det er skræmmende let at syn flodde, men Ekspertens regler forbyder at jeg beskriver hvordan det gøres. Der er også en del andre ting du kan gøre for at beskytte dig. Skriv hvis det er relevant med en uddybende beskrivelse at modforanstaltningerne
Avatar billede squashguy Nybegynder
23. august 2004 - 22:16 #9
buffer, jeg tror ikke det er et syn angreb.. så ville modtageren nok være den samme hver gang.
Avatar billede bufferzone Praktikant
23. august 2004 - 22:21 #10
Ikke nødvendigvis. Faktisk kan de bedste af værktøjerne relativt enkelt spoofe afsender adressen. Det er en af metoderne til at sikre at du ikke selv bliver generet af ACK svarene. Du kan simpelthend lave en liste over adresser du ønsker at bruge som spoofede afsender adresser og sø kører med dit angreb. Det er en del af det.

Det kan sagtens være et syn flod angreb
Avatar billede bufferzone Praktikant
23. august 2004 - 22:24 #11
Jeg fandt lige dette fra en rapport jeg har liggende

Countermeasures to take – to avoid the syn flood attack
Since the three-way-handshake is part of communicating with TCP – there are no “cure” against a syn flood. You can only do as much as you can to minimize the problem.

These means are:
•    In this case all the syn packets are originating from the same “spoofed” hosts. Therefore it would be possible to block all hosts initiating more than e.g. 10 requests per second. Be careful not to block legal traffic.
•    Use micro blocks – meaning as little as 16 byte of allocated memory per syn packet.
•    Use Syn Cookies – meaning that the server sends a syn ack packet to the initiating host based on parameters in the packet. This means that the server allocates memory on the third packet and not the first packet.
•    RST cookies – meaning the server sends a wrong SYN,ACK packet to the host – which then should generate a RST packet. If it does so – the originating host is legitimate .
•    Decrease the timeout value on the terminating host – meaning that each connection times out faster – instead of waiting too long for the last ACK packet.
•    Since the target host uses a Firewall-1 the built in SYNDefender could be used.
•    Increase the amount of RAM – used for storing SYN connections. Maybe even add more RAM to the server.

Even though these methods are often very good ideas – a SYN flood can never be 100% prevented. Theoretically it is always a matter of how many hosts are attacking. In the end – all the SYN packets will exhaust all the bandwidth.
Avatar billede squashguy Nybegynder
23. august 2004 - 22:25 #12
Jeg snakker heller ikke om afsender, men om modtager. Jeg synes klart loggen viser, at det er spørgers maskine som sender pakker afsted, til en masse forskellige maskiner..
Avatar billede squashguy Nybegynder
23. august 2004 - 22:26 #13
og siden den forsøger på port 445, kunne det f.eks. være sasser
Avatar billede squashguy Nybegynder
24. august 2004 - 02:23 #14
Sidder du på netværk sammen med andre?

Hvis min teori holder, og du har sasser på en nyformateret maskine (og du sidder bag en router) kan smittekilden måske være en anden maskine på netværket..
Avatar billede ranglen Nybegynder
24. august 2004 - 15:09 #15
jeg synes heller ikke det fremgår af loggen, at det skulle være et syn angreb
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester