Em 11 de junho de 2012 11:21, Lucas <lucas_bortol...@hst.com.br> escreveu:
> Seguinte, não adianta você limitar quantidade de consultas, pois > dependendo da regra que você coloca na rede você caba facilitando o > flood, por exemplo, você cria uma regra pra x acessos na su rede sem > dropar e ai eu vou e flood e sou dropado, beleza, ai subo um script que > vai determinar o limite de pacotes que posso enviar e faço o flood > trabalhar no limite sem ser dropado, ai o proximo cliente legitimo que > logar sera dropado, ou seja, seu servidor não cai, mas posso impedir que > os outros clientes acessem. > > Tem um pulo do gato: > > 1. quando o cliente envia o primeiro SYN, envia também um número de 32 > bits. chamado número de seqüência (vamos chamar de NS-C, número de > seqüência do cliente) > > 2. quando o servidor recebe o SYN, ele também escolhe um NS para si > (NS-S, número de seqüência do servidor) e devolve o pacote com dois > números: o seu NS-S e o número de verificação, chamando de ACK > (diferente do flag, este tem também 32 bits). Este segundo número nada > mais é do que NS-C+1. > > 3. o cliente, ao completar o handshake, devolve NS-C+1 e NS-S + 1. > > Tente colocar uma regra baseada em syn cookie ai todo pacote te´ra uma > autenticação e evite usar +1, use outro numero. Não resolve totalmente > mas podera ajudar a dificultar o DOS > > E como ficaria um ataque spoof? E uma rede com muitos computadores? Não é tão simples quanto parece. -- Eduardo Schoedler ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd