A inundação de SYN ainda é uma ameaça?

5

Recentemente, tenho lido sobre diferentes métodos de negação de serviço. Um método que ficou preso foi o SYN flooding. Sou membro de alguns fóruns não tão legais, e alguém estava vendendo um script python que faria DoS um servidor usando pacotes SYN com um endereço IP falsificado.

No entanto, se você enviar um pacote SYN para um servidor, com um endereço IP falsificado, o servidor de destino retornará o pacote SYN / ACK ao host que foi falsificado. Nesse caso, o host falsificado não retornaria um pacote RST, negando assim a espera de 75 segundos e, em última análise, falhando em sua tentativa de fazer DoS o servidor?

EDIT: E se eu não estiver usando cookies SYN?

    
por Rob 16.05.2010 / 01:55

3 respostas

2

graças a syncookies, a ameaça de flood syn é meio que mínima nos dias de hoje. link

basicamente quando um pacote syn é recebido, o servidor envia um cookie e, se o convidado responde com a resposta apropriada, a conexão é estabelecida.

syn_flooding costumava causar problemas, porque os servidores precisavam manter as conexões abertas, aguardando o restante do handshake.

    
por 16.05.2010 / 02:13
2

Acredito que sistemas operacionais recentes oferecerão suporte a Syn Cookies , que ajudam a evitar esse tipo de ataque. Você pode ativá-lo com /proc/sys/net/ipv4/tcp_syncookies no Linux.

    
por 16.05.2010 / 02:12
1

No meu entender, o endereço IP falsificado nesse cenário é geralmente o servidor sob ataque ... Um invasor usará vários remetentes enviando os mesmos pacotes IP SYN falsificados para vários destinatários, todos respondendo ao mesmo IP com SYN / ACK e poof ... DDOS.

Quanto ao seu título, não sei se ainda é um ataque viável.

    
por 16.05.2010 / 02:05