Comments on: SYN-Flood kurz erklärt http://burnachurch.com/60/syn-flood-kurz-erklaert/ Zucht und Ordnung from hell Sat, 31 Jul 2010 16:18:18 +0000 http://wordpress.org/?v=2.7 hourly 1 By: Arno http://burnachurch.com/60/syn-flood-kurz-erklaert/#comment-1844 Arno Fri, 02 Oct 2009 18:44:48 +0000 http://burnachurch.com/60/syn-flood-kurz-erklaert/#comment-1844 Wenn du TCP-Syncookies verwendet, wird der Ringbuffer (die Connection Table) nicht verwendet. Stattdessen schließt der Kernel algorithmisch durch speziell vergebene Sequenznummern darauf, ob dem Kernel die Verbindung bereits bekannt ist. Das ist ja der Vorteil des Verfahrens, da auf diese Art und Weise, die Beschränkungen durch die Connection Table nicht gegeben sind. Im normalen Betrieb ist dein Problem allerdings möglich, eine Wahrscheinlichkeit ist allerdings so nicht zu ermitteln - denn diese hängt natürlich von konkreten Parametern ab, nicht zuletzt den Anzahl an Verbindungsversuchen und der Größe des Buffers. Wenn du TCP-Syncookies verwendet, wird der Ringbuffer (die Connection Table) nicht verwendet. Stattdessen schließt der Kernel algorithmisch durch speziell vergebene Sequenznummern darauf, ob dem Kernel die Verbindung bereits bekannt ist. Das ist ja der Vorteil des Verfahrens, da auf diese Art und Weise, die Beschränkungen durch die Connection Table nicht gegeben sind.

Im normalen Betrieb ist dein Problem allerdings möglich, eine Wahrscheinlichkeit ist allerdings so nicht zu ermitteln - denn diese hängt natürlich von konkreten Parametern ab, nicht zuletzt den Anzahl an Verbindungsversuchen und der Größe des Buffers.

]]> By: Marcus http://burnachurch.com/60/syn-flood-kurz-erklaert/#comment-1843 Marcus Fri, 02 Oct 2009 09:20:24 +0000 http://burnachurch.com/60/syn-flood-kurz-erklaert/#comment-1843 Hallo, der Text ist wirklich sehr gut und fundamental korrekt geschrieben. Die größe des Ringpuffers kann ja variiert werden, wenn jetzt der Ringpuffer allerdings innerhalb von ein paar ms, vielleicht 100 komplett rotiert und alte Einträge somit verwirft (im Angriffsfall), ist es da ja auch wahrscheinlich, dass ein legitimer Benutzer, der eine Anfrage stellt, verworfen wird. Dieser wiederholt jedoch standardmäßig fünfmal seinen SYN. Wie wahrscheinlich ist es in Abhängigkeit von der Anzahl der einkommenden Anfragen pro Zeit, das der Request des ligitimen Benutzers doch noch mit SYN/ACK beantwortet wird? Also beantwortet werden ja alle aber wenn er den Cookie nicht mehr kennt, weil er ihn schon verworfen hat kommt ja sicherlich nur noch RST (oder ist dass der Code, den der Server wieder erkennt und die Verbindung aufbaut, obwohl der Eintrag nicht mehr im Ringpuffer ist? Oder wie kann ich mir das vorstellen?) Gibt es dazu Messungen irgendwo veröffentlicht? Dankeschön und Grüße aus dem Sachsenland. Hallo,

der Text ist wirklich sehr gut und fundamental korrekt geschrieben. Die größe des Ringpuffers kann ja variiert werden, wenn jetzt der Ringpuffer allerdings innerhalb von ein paar ms, vielleicht 100 komplett rotiert und alte Einträge somit verwirft (im Angriffsfall), ist es da ja auch wahrscheinlich, dass ein legitimer Benutzer, der eine Anfrage stellt, verworfen wird. Dieser wiederholt jedoch standardmäßig fünfmal seinen SYN. Wie wahrscheinlich ist es in Abhängigkeit von der Anzahl der einkommenden Anfragen pro Zeit, das der Request des ligitimen Benutzers doch noch mit SYN/ACK beantwortet wird? Also beantwortet werden ja alle aber wenn er den Cookie nicht mehr kennt, weil er ihn schon verworfen hat kommt ja sicherlich nur noch RST (oder ist dass der Code, den der Server wieder erkennt und die Verbindung aufbaut, obwohl der Eintrag nicht mehr im Ringpuffer ist? Oder wie kann ich mir das vorstellen?) Gibt es dazu Messungen irgendwo veröffentlicht?

Dankeschön und Grüße aus dem Sachsenland.

]]> By: nebu http://burnachurch.com/60/syn-flood-kurz-erklaert/#comment-1835 nebu Mon, 24 Aug 2009 07:31:23 +0000 http://burnachurch.com/60/syn-flood-kurz-erklaert/#comment-1835 Gute Erklärung... für Anfänger nen schöner Einstiegspunkt um zu wissen wie man sich wehren könnte... Gute Erklärung… für Anfänger nen schöner Einstiegspunkt um zu wissen wie man sich wehren könnte…

]]> By: Stephan http://burnachurch.com/60/syn-flood-kurz-erklaert/#comment-1809 Stephan Tue, 16 Jun 2009 15:52:48 +0000 http://burnachurch.com/60/syn-flood-kurz-erklaert/#comment-1809 Das hilft aber leider alles nicht gegegn massive DDOS SYN Floods mit gefakten Absendern. Das hilft aber leider alles nicht gegegn massive DDOS SYN Floods mit gefakten Absendern.

]]> By: Arno http://burnachurch.com/60/syn-flood-kurz-erklaert/#comment-1783 Arno Tue, 05 May 2009 22:39:06 +0000 http://burnachurch.com/60/syn-flood-kurz-erklaert/#comment-1783 Gar nicht, erst wenn du SYN-Cookies manuell deaktivierst. Wann immer der Kernel eine SYN-Flood entdeckt (oder zumindest etwas, was er dafür hält) und entsprechende Maßnahmen ergreift, meldet er dir das allerdings. Ob und wann der Kernel wieder zum "normalen" Modus zurückkehrt, ist für dich als Anwender nicht unmittelbar ersichtlich. Gar nicht, erst wenn du SYN-Cookies manuell deaktivierst. Wann immer der Kernel eine SYN-Flood entdeckt (oder zumindest etwas, was er dafür hält) und entsprechende Maßnahmen ergreift, meldet er dir das allerdings.
Ob und wann der Kernel wieder zum “normalen” Modus zurückkehrt, ist für dich als Anwender nicht unmittelbar ersichtlich.

]]> By: Morgan http://burnachurch.com/60/syn-flood-kurz-erklaert/#comment-1780 Morgan Tue, 05 May 2009 00:58:48 +0000 http://burnachurch.com/60/syn-flood-kurz-erklaert/#comment-1780 Wann beendet der Kernel den "Sending cookies." kreisverkehr wieder? Meldet der das? Oder wiederholt er den messages Eintrag, wenn er nicht beendet? Regards Wann beendet der Kernel den “Sending cookies.” kreisverkehr wieder?
Meldet der das? Oder wiederholt er den messages Eintrag, wenn er nicht beendet?

Regards

]]> By: Dirk http://burnachurch.com/60/syn-flood-kurz-erklaert/#comment-1769 Dirk Thu, 16 Apr 2009 13:49:44 +0000 http://burnachurch.com/60/syn-flood-kurz-erklaert/#comment-1769 wie kann ich das iptables -N synflood wieder entfernen ? wie kann ich das iptables -N synflood wieder entfernen ?

]]> By: tAXMAN http://burnachurch.com/60/syn-flood-kurz-erklaert/#comment-1748 tAXMAN Tue, 17 Mar 2009 09:00:02 +0000 http://burnachurch.com/60/syn-flood-kurz-erklaert/#comment-1748 <blockquote> [09:57] tAXMAN: das ist gut geschrieben [09:57] tAXMAN: sehr vrständlich [09:57] MissAntroph: sags ihm. :o) Der glaubt mir sowas immer nicht [09:58] tAXMAN: sags ihm, hrhr! [09:58] tAXMAN: sag du es ihm [09:58] MissAntroph: schreibs halt drunter? </blockquote> .done

[09:57] tAXMAN: das ist gut geschrieben
[09:57] tAXMAN: sehr vrständlich
[09:57] MissAntroph: sags ihm. :o) Der glaubt mir sowas immer nicht
[09:58] tAXMAN: sags ihm, hrhr!
[09:58] tAXMAN: sag du es ihm
[09:58] MissAntroph: schreibs halt drunter?

.done

]]> By: Marcel http://burnachurch.com/60/syn-flood-kurz-erklaert/#comment-1514 Marcel Sun, 07 Dec 2008 22:50:33 +0000 http://burnachurch.com/60/syn-flood-kurz-erklaert/#comment-1514 Danke für den Post - sehr nützlich! Danke für den Post - sehr nützlich!

]]> By: Webagentur http://burnachurch.com/60/syn-flood-kurz-erklaert/#comment-1491 Webagentur Mon, 17 Nov 2008 14:22:22 +0000 http://burnachurch.com/60/syn-flood-kurz-erklaert/#comment-1491 Hallo, ich möchte das gerne auf meinen eigenen Server mal testen. Wie erstelle ich z.B. eine Schleife, oder besser eine Endlos-Schleife? Hallo,

ich möchte das gerne auf meinen eigenen Server mal testen. Wie erstelle ich z.B. eine Schleife, oder besser eine Endlos-Schleife?

]]>