SYN flooding ainda é uma ameaça para os servidores?

3

Recentemente, tenho lido sobre diferentes métodos de negação de serviço. Um método que ficou preso foi o SYN flooding. Sou membro de alguns fóruns não tão legais, e alguém estava vendendo um script python que faria DoS um servidor usando pacotes SYN com um endereço IP falsificado.

No entanto, se você enviar um pacote SYN para um servidor, com um endereço IP falsificado, o servidor de destino retornará o pacote SYN / ACK ao host que foi falsificado. Nesse caso, o host falsificado não retornaria um pacote RST, negando assim a espera de 75 segundos e, em última análise, falhando em sua tentativa de fazer DoS o servidor?

    
por Rob 14.05.2010 / 19:11

1 resposta

2

Existem vários casos em que isso pode não acontecer.

  • O host falsificado pode não existir.
  • Pode existir, mas ser configurado para descartar silenciosamente um SYN / ACK que não corresponda a um pacote SYN enviado pelo host.
  • Pode existir e responder, mas não tem largura de banda suficiente para lidar com todos os SYN / ACKs recebidos do host que está sendo atacado.
Os cookies SYN podem ser usados como uma defesa contra inundações SYN, removendo todo o estado do lado do servidor durante o handshake. (Confira como eles funcionam se você não sabe, é um hack brilhante que não quebra a especificação TCP.) Os cookies SYN são habilitados no meu sistema Ubuntu Lucid por padrão, então eu esperaria que a maioria dos servidores os usasse atualmente .

    
por 14.05.2010 / 19:15