Firewallen i min router er begyndt at reportere TCP SYN Flooding, Hvad er det?
Det ser nogenlunde sådan ud.. 2004/08/23 20:56:22 ** TCP SYN Flooding ** <IP/TCP> 192.168.1.96:1339 ->> 217.125.219.2:445 2004/08/23 20:56:23 ** TCP SYN Flooding ** <IP/TCP> 192.168.1.96:1981 ->> 144.157.188.82:445 2004/08/23 20:56:24 ** TCP SYN Flooding ** <IP/TCP> 192.168.1.96:2025 ->> 62.42.1.207:445 2004/08/23 20:56:25 ** TCP SYN Flooding ** <IP/TCP> 192.168.1.96:2094 ->> 192.168.125.61:445 2004/08/23 20:56:26 ** TCP SYN Flooding ** <IP/TCP> 192.168.1.96:2174 ->> 82.224.137.165:445 2004/08/23 20:56:28 ** TCP SYN Flooding ** <IP/TCP> 192.168.1.96:1566 ->> 41.52.202.14:445 2004/08/23 20:56:28 ** TCP SYN Flooding ** <IP/TCP> 192.168.1.96:1798 ->> 123.12.136.254:445 2004/08/23 20:56:28 ** TCP SYN Flooding ** <IP/TCP> 192.168.1.96:1842 ->> 20.102.58.241:445
Hvordan for man det til at holde op? siden det er det der får mine ping tider til at stige når jeg spiller. Jeg har har formateret min harddisk helt så der ikke er andet end windows tilbage på den, men den forsætter alligevel.
Det er vist bare blaster eller en af de andre orme som forsøger at komme igennem din router! men kan ikke helt se på din log om det er ind, eller ud (tror det er ind)
SYN er den parameter man bruger ved TCP, når en ny forbindelse skal oprettes.
Ud fra pilens retning, vil jeg sige din maskine forsøger at oprette en masse forbindelser ud af huset, til en masse forskellige computere på port 445. Dette er tegn på sasser-ormen.
Når du etablere en tcp forbindelse sker det altid via et såkaldt 3-way TCP handshake. Dette sker således:
Din maskine sender en SYN pakke til modtagerens maskine Modtagerens maskine afsætter et lille stykke hukommelse og sender en ACK pakke samt en SYN pakke til din maskine. Din maskine afsætter lidt hukommelse og sender en ACK pakke til modtagerens maskine.
Hvis du kikker efter har begge maskiner ny sendt en syn pakke der er blevet accepteret med en ack pakke og tovejs forbindelsen er skabt
Et syn flodding angreb udføres således
Din maskine bombardere modstanderens maskine med syn pakker. Hver gang afsætter modtagerens maskine et lille stykke hukommelse og sender en ack pakke. Din maskine er konfigureret til at ignorere alle ack pakker fra modtageren og bare fortsætte med at syn flodde ham. Tilsidst vil modtagerens maskine ikke have mere hukommelse og gå ned lige så længe du flodter hem
Et normalt syn flod angreb kan laves mod de fleste sites med 4 til 5 linux maskiner og en 2 Mbit forbindelse. Du kan ikke sikre dig imod dette, men du kan optimere din firewall til bedre at modtså disse angreb. Dette gøres ved at sætte den tid, det lille stykke hukommelse der afsættes, holdes aktivt ned, dvs hukommelsen frigives hurtigere.
Nogle firewalls er bedre til dette end andre.
Disse syun flod angreb har bl.a. været andvendt med succes mod Ladbrouks og vist også unibet af russiske hackere der ville afpredse dem til at betale for ikke at blive syn floddet i timerne op til store kampe
det er skræmmende let at syn flodde, men Ekspertens regler forbyder at jeg beskriver hvordan det gøres. Der er også en del andre ting du kan gøre for at beskytte dig. Skriv hvis det er relevant med en uddybende beskrivelse at modforanstaltningerne
Ikke nødvendigvis. Faktisk kan de bedste af værktøjerne relativt enkelt spoofe afsender adressen. Det er en af metoderne til at sikre at du ikke selv bliver generet af ACK svarene. Du kan simpelthend lave en liste over adresser du ønsker at bruge som spoofede afsender adresser og sø kører med dit angreb. Det er en del af det.
Jeg fandt lige dette fra en rapport jeg har liggende
Countermeasures to take – to avoid the syn flood attack Since the three-way-handshake is part of communicating with TCP – there are no “cure” against a syn flood. You can only do as much as you can to minimize the problem.
These means are: • In this case all the syn packets are originating from the same “spoofed” hosts. Therefore it would be possible to block all hosts initiating more than e.g. 10 requests per second. Be careful not to block legal traffic. • Use micro blocks – meaning as little as 16 byte of allocated memory per syn packet. • Use Syn Cookies – meaning that the server sends a syn ack packet to the initiating host based on parameters in the packet. This means that the server allocates memory on the third packet and not the first packet. • RST cookies – meaning the server sends a wrong SYN,ACK packet to the host – which then should generate a RST packet. If it does so – the originating host is legitimate . • Decrease the timeout value on the terminating host – meaning that each connection times out faster – instead of waiting too long for the last ACK packet. • Since the target host uses a Firewall-1 the built in SYNDefender could be used. • Increase the amount of RAM – used for storing SYN connections. Maybe even add more RAM to the server.
Even though these methods are often very good ideas – a SYN flood can never be 100% prevented. Theoretically it is always a matter of how many hosts are attacking. In the end – all the SYN packets will exhaust all the bandwidth.
Jeg snakker heller ikke om afsender, men om modtager. Jeg synes klart loggen viser, at det er spørgers maskine som sender pakker afsted, til en masse forskellige maskiner..
Hvis min teori holder, og du har sasser på en nyformateret maskine (og du sidder bag en router) kan smittekilden måske være en anden maskine på netværket..
jeg synes heller ikke det fremgår af loggen, at det skulle være et syn angreb
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
