SynFlood Attacks: Quantos pacotes por segundo são possíveis por Mbit?

2

Eu seria ótimo para o cálculo / fórmula exata de como calcular o quanto os pacotes SYN podem ser enviados por largura de banda de 1 Mbit:

1.) Qual é o tamanho (em bytes) de um SYN-Packet = 20 Bytes? link É correto que as primeiras cinco linhas, heach, tenham 4 bytes = 20 bytes em total? Além disso, é correto que não exista carga útil e um pacote contendo apenas um cabeçalho seja válido?

2.) É válido dividir 1Mbit / Number-of-Bytes-por-Syn para obter um resultado válido? (1000 000/8/20 == > 6250 SYN por segundo ???)

3.) Ou existem outros fatores limitantes que reduzirão drasticamente o número de pacotes SYN por 1Mbit? (então, o número calculado na prática será muito menor). O que isso limitaria esse número?

4.) Existe alguma ferramenta "deve saber" para proteger o meu servidor do Syn Attacks (linux / debian). Eu tenho implementado algumas coisas básicas no iptables, mas não sei se isso realmente vai ajudar ... Melhor seria filtrar em servidores "Frontend / Gateway"? O que a Commercerial Products oferece o SYN-Flood Filtering, eu ficaria agradecido se você pudesse citar alguns produtos de concreto.

Obrigado Jan

    
por jan 05.06.2011 / 08:24

1 resposta

2
  1. sua suposição é correta em que um pacote SYN não precisa carregar nenhuma carga e ser estrito, mesmo que não tenha nenhuma opção, tendo apenas o cabeçalho TCP. Mas o tamanho do pacote não equivale a 20 bytes, pois o TCP será incorporado em um pacote IP, adicionando pelo menos mais 20 bytes de cabeçalho. Qualquer SYN do mundo real ainda teria opções para o MSS, o valor do registro de data e hora e um conjunto de valores de ECR, resultando em um tamanho típico de cerca de 60 bytes por pacote. Você pode usar o tcpdump para dar uma olhada no tráfego, se estiver interessado: tcpdump -v -n -p tcp and 'tcp[13] & 2 == 2'
  2. Não é bem assim - você terá que levar em conta a sobrecarga adicional de protocolo (tamanho do cabeçalho e soma de verificação de sua camada de enlace de dados - a Ethernet normalmente adicionará outros 31 bytes, por exemplo)
  3. Cookies SYN e Transações de cookie TCP provou ser um mecanismo eficaz contra ataques de inundação por SYN. Implementando limite de taxa SYN se seus clientes não oferecerem suporte ao TCPCT e sofrerem as limitações que os cookies SYN trazem consigo apenas criarão outro vector de ataque DoS e não é aconselhável.
por 05.06.2011 / 11:17