2010 . SEPTEMBER
SUN
MON
TUE
WED
THU
FRI
SAT
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
Werbeplatz (160x160px)
Wer Interesse hat kann sich bei mir via E-Mail melden.
.tel +49 173 4964512
June 4, 2009
SYN DoS (Flooding)
Das www bringt ja bekanntlich nicht nur interessierte Mitmenschen zu deiner Webseite auch der ein oder andere Scherzkeks ist im Netz unterwegs.
Solange der Webserver auch seine Daten korrekt ausliefert haben wir ja auch kein Problem. Lustig wir es erst wenn der Content nicht mehr ausgeliefert wird.
netstat –n –p tcp | grep SYN_R
Mit dieser Zeile kann man sich alle SYN_RECIVED anzeigen lassen.
Die SYN DoS funktioniert so, das ein SYN Request gestartet wird auf Basis des gewöhnlichen dreistufigen TCP Verbindungsaufbaus. Das Ziel wird mit fake IP-Paketen beschossen dabei wird ein Paket mit gesetztem SYN Flag gesendet. Unserer Host beantwortet dieses Paket mit einer Nachricht welche das SYN- und ACK-Flag gesetzt hat.
Da die IP-Adresse gefaket ist kommt zu keiner Antwort mit gesetztem ACK-Flag des Angreifers. Die TCP Verbindung bleibt im geöffneten Zustand und verbraucht Systemressourcen. Irgendwann kommt es zu einem Timeout der Verbindung.
Bei Windows kann das bis zu 96s dauern, in dieser Zeit kommen soviel neue Anfragen das der Server bei zu vielen Anfragen diese nicht mehr beantworten kann.
Bei einigen Servern soll die syncookies Einstellung Abhilfe schaffen (einfach mal auf 1 setzen).
cat proc/sys/net/ipv4/tcp_syncookies
echo 1 > proc/sys/ net/ipv4/tcp_syncookies
In unserem System haben wir aber den Loadbalancer umkonfiguriert und Sticky-Sessions deaktiviert. Was auch das Problem behoben hat.
Permlink|Reply