Re: [redewan] TCP SYN Flooding

Edinilson J. Santos Wed, 21 Mar 2001 08:18:48 -0800
Date:	Jan 31 2001 08:39:27 EST
From:	"Edinilson J. Santos" <[EMAIL PROTECTED]>
Subject:	Re: [redewan] TCP SYN Flooding
Dei uma olhada na documentacao do Cisco, conforme indicado pelo sr. Allan, e
fala sobre o comando ip tcp intercept.
Tenho o IOS 12.0(5) e nao possui esse comando. Pra variar esse comando so
esta disponivel em algum outro subset da cisco, que deve ser comprado a
parte?
Outro detalhe: segundo o pessoal da Embratel me informou, isso ja esta
bloqueado entre os clientes Embratel.
De redes internacionais, voce deve aciona-los no momento do ataque para um
possivel bloqueio.

Obrigado

Edinilson

------------------------------------------
ATINET-Afiliado UOL de Atibaia
Rua Francisco R. Santos, 54 sala 3
ATIBAIA/SP   Cep: 12940-000
Tel: (0xx11) 4412-0876
http://www.atinet.com.br
----- Original Message -----
From: "Allan Moura" <[EMAIL PROTECTED]>
To: "Lista de Discuss�o Rede Wan" <[EMAIL PROTECTED]>
Sent: Monday, January 29, 2001 10:15 PM
Subject: Re: [redewan] TCP SYN Flooding


Lista de Discuss�o Rede Wan - http://www.networkdesigners.com.br

            Concordo com vc Antonio, hoje em dia a maioria dos ataques de
DDOS se iniciam de fora para c�, e s�o distribuidos uma hora vem da Europa
outra dos E.U.A, por isso eu disse sobre a interass�o com os backbones, a
provedora pode controlar isso perfeitamente nas pontas antes de chegar na
vitima, inclusive j� pude presenciar a a��o de alguns provedores de backbone
no combate a esses ataques que surtiram grande efeito, minimizando o mesmo.
Quanto a derrubar o host, confesso a vc que n�o � muito dificil, tem varias
outras alternativas alem de ficar mandando pacotes com flag SYN, mas o nosso
foco aqui � sobre DDOS, ent�o concordo plenamente com vc.

Allan Moura

----- Original Message -----
From: "Antonio Carlos Pina" <[EMAIL PROTECTED]>
To: "Lista de Discuss�o Rede Wan" <[EMAIL PROTECTED]>
Sent: Friday, January 26, 2001 12:53 PM
Subject: Re: [redewan] TCP SYN Flooding


> Lista de Discuss�o Rede Wan - http://www.networkdesigners.com.br
>
> Prezado Allan,
>
> Eu conhe�o estes escritos e voc� tem toda a raz�o. O problema � que aqui
no
> Brasil, devido ao custo de backbone ser muito alto, � muito comum todos
n�s
> trabalharmos com links menores, como 4 e 8 MB/s, ao inv�s de uma situa��o
> entry-level de 34MB/s nos EUA. Da� dependendo de onde o Flood se origina,
o
> problema maior N�O � derrubar seu(s)  Host(s) e sim o seu link ficar
> saturado ! Note que um flood de 4MB/s de Syn n�o � suficiente para
derrubar
> a maioria dos Hosts, com qualquer SO, mas � o suficiente para lotar seu
link
> e acabar com seu acesso a Internet (neste caso, agindo como um ataque DOS
> comum, que poderia ser icmp ou udp).
>
> A melhor ferramenta, pela nossa experi�ncia, continua sendo detectar o
> ataque e interagir com os backbones. Quando tivermos muitos OC3 por aqui
> acho que a preocupa��o maior ser� a sa�de dos hosts ;-))
>
> Cordialmente,
> Antonio Carlos Pina
> Diretor de Tecnologia
> INFOLINK Internet
> http://www.infolink.com.br
>
> ----- Original Message -----
> From: "Allan Moura" <[EMAIL PROTECTED]>
> To: "Lista de Discuss�o Rede Wan" <[EMAIL PROTECTED]>
> Sent: Thursday, January 25, 2001 12:57 AM
> Subject: Re: [redewan] TCP SYN Flooding
>
>
> > Lista de Discuss�o Rede Wan - http://www.networkdesigners.com.br
> >
> >         Ops, Antonio me desculpe a resposta anterior que eu havia
mandando
> > n�o era para vc. Apenas para maior conhecimento segue aonde pode obter
> > maiores informa��es  sobre os comandos que eu havia falado, "Designing
> > Network Security, Cisco Press, Pagina 247, oTopico � TCP SYN Attack",
> "Cisco
> > IOS 12.0 Network Security, Pagina 355" quanto a problemas de IP Spoofing
> > recomendo o uso do "IP Verify" ele minimiza muito este problema. O resto
�
> > como eu j� havia falado uma boa ajuda do seu provedor de backbone.
> >
> >
> > Allan moura
> >
> >
> >    ----- Original Message -----
> > From: "Antonio Carlos Pina" <[EMAIL PROTECTED]>
> > To: "Lista de Discuss�o Rede Wan" <[EMAIL PROTECTED]>
> > Sent: Wednesday, January 24, 2001 11:42 AM
> > Subject: Re: [redewan] TCP SYN Flooding
> >
> >
> > > Lista de Discuss�o Rede Wan - http://www.networkdesigners.com.br
> > >
> > > Ol�,
> > >
> > > N�o. Isso � defesa contra SMURF attack (e alguns outros tipos de
> > > amplificadores e � importante ativar). A rigor voc� n�o tem como
> bloquear
> > um
> > > TCP flooding. Voc� tem como evitar que o(s) Host(s) atacado(s) seja(m)
> > > derrubado(s) (atrav�s do controle das emiss�es de RST, por exemplo),
mas
> > se
> > > o link do atacante for muito maior que o seu, n�o h� como evitar que o
> seu
> > > link v� a 100% e destrua com a qualidade de sua navega��o e etc. S�
> > > bloqueando no upstream (no seu backbone) se voc� tiver um endere�o IP
> > (mesmo
> > > que seja spoof).
> > >
> > > Uma coisa que � poss�vel de tentar (embora eu n�o saiba como fazer no
> > Cisco)
> > > � bloquear pacotes com SYN+FIN setados, mas hoje em dia os scripts de
> > ataque
> > > j� sabem passar por cima deste truque ;-)
> > >
> > > Cordialmente,
> > > Antonio Carlos Pina
> > > Diretor de Tecnologia
> > > INFOLINK Internet
> > > http://www.infolink.com.br
> > >
> > > ----- Original Message -----
> > > From: "Edinilson J. Santos" <[EMAIL PROTECTED]>
> > > To: "Lista de Discuss�o Rede Wan" <[EMAIL PROTECTED]>
> > > Sent: Tuesday, January 23, 2001 5:22 PM
> > > Subject: Re: [redewan] TCP SYN Flooding
> > >
> > >
> > > > Lista de Discuss�o Rede Wan - http://www.networkdesigners.com.br
> > > >
> > > > Acho que e o
> > > > no ip directed-broadcast
> > > >
> > > > na interface que voce deseja.
> > > >
> > > >
> > > > Edinilson
> > > > ------------------------------------------
> > > > ATINET-Afiliado UOL de Atibaia
> > > > Rua Francisco R. Santos, 54 sala 3
> > > > ATIBAIA/SP   Cep: 12940-000
> > > > Tel: (0xx11) 4412-0876
> > > > http://www.atinet.com.br
> > > > ----- Original Message -----
> > > > From: "reinaldo" <[EMAIL PROTECTED]>
> > > > To: "Lista de Discuss�o Rede Wan" <[EMAIL PROTECTED]>
> > > > Sent: Tuesday, January 23, 2001 1:50 PM
> > > > Subject: [redewan] TCP SYN Flooding
> > > >
> > > >
> > > > Lista de Discuss�o Rede Wan - http://www.networkdesigners.com.br
> > > >
> > > > Ola
> > > > Alguem  sabe como  bloquear ataques TCP SYN Flooding
> > > > Nos roteadores 2600 cisco
> > > >
> > > > Obrigado
> > > >
> > > > Reinaldo
> > > >
> > > >
> > > >
______________________________________________________________________
> > > >
> > > >
> > > >
______________________________________________________________________
> > >
> > >
> > > ______________________________________________________________________
> > >
> >
> >
> > ______________________________________________________________________
>
>
> ______________________________________________________________________
>


______________________________________________________________________
Re: [redewan] TCP SYN Flooding

Responder a
