se poate face fie cu un IDS corect configurat fie cu o aplicatie custom. Un IDS poate numara cate SYN-uri are de la un anumit host si peste un anumit numar sa le blocheze. Alternativ, in cazul unui DRDOS, poti analiza tu, de mana, pachetele SYN primite si vei avea surpriza sa constati ca marea majoritate a campurilor sunt constate, diferind doar sursa si portul destinatie. Si atunci poti configura IDS-ul sa blocheze legaturile cu anumite campuri "extraterestre" (de ex. eu primeam si mai primesc pachete cu WIN 65535 si TTL 242 - 255 la origine).
O alta solutie e sa-l gasesti pe individul care te "fericeste" :) MariuS ----- Original Message ----- From: "Alin Nastac" <[EMAIL PROTECTED]> To: <[EMAIL PROTECTED]> Sent: Monday, November 17, 2003 4:14 PM Subject: [rlug] Re: flood pe http > Cred ca ai inteles gresit ceea ce face syncookies. > Acest cookie nu va aloca resurse locale (memorie) doar pt ca un zevzec > se trezeste sa-ti trimita un SYN, ci va amina alocarea resurselor pina > in momentul in care respectivul va raspunde la pachetul SYN+ACK emis de > serverul tau. Cu alte cuvinte atacul DoS va esua, serverul continuind sa > serveasca clientii cuminti chiar in conditiile unui atac. > > Filtrarea SYN-urilor care au atributul "flood" = yes este imposibila din > simplul motiv ca acest atribut nu exista. > > Bucur Marian wrote: > > >Subiectul a mai fost pe rlug.. numai ca nu am gasit o solutie: > >De ceva timp ma trezesc la intervale random ca cineva imi floodeaza serverul de web. > >Pachetele sunt de tip SYN.. pe portul 80 si normal ca http se sufoca. Adresele de la care pleaca pachetele sunt spoofate, normal :( > >Lumea mi-a sugerat sa enablez tcp_syncookies .. am facut-o dar tot ma trezesc cu tone de pachete pe 80. Am restartat serviciul de network (sunt pe RH) la fel.. si totusi in /pros/sys/net/ipv4/tcp_syncokies e 1 > >Ce dracu am gresit.. ce mai trebuie sa fac? > >Thanks > > > > > >--- > >Detalii despre listele noastre de mail: http://www.lug.ro/ > > > > > > > > > > --- > Detalii despre listele noastre de mail: http://www.lug.ro/ > > --- Detalii despre listele noastre de mail: http://www.lug.ro/
