+ Responder ao Tópico



  1. #1

    Padrão Ataques Syn Flood

    Qual o valor ideal para eu colocar em uma regra para conter ataques syn flood ?? Se eu coloco um valor muito baixo, não poderei ter muitos acessos ao meu server, se coloco muito alto, fico sujeito a problemas.

    Ex:
    -m limit --limit 1/s --limit-brust 4 (4 conexões sym por segundo)

    Grato.

  2. #2
    drginfo
    Visitante

    Padrão Ataques Syn Flood

    Se a política do teu firewall for default drop, não precisa fazer este tipo de regra, pois senão ao invés de bloquear você vai liberar acesso ok!



  3. #3

    Padrão Ataques Syn Flood

    a política default é drop.
    Só que eu possuo serviços abertos, como email, ssh e http.
    Um ataque syn flood pode ser inicado tendo em vista esses serviços.
    Logo, devo colocar um limite. Que limite devo colocar, como calculo ???

    Grato.

  4. #4

    Padrão Ataques Syn Flood

    contra syn flood uso a opção:

    echo 1 > /proc/sys/net/ipv4/tcp_syncookies



  5. #5

    Padrão Ataques Syn Flood

    Estou lendo o livro dominando linux firewall iptables de Urubatan Neto e ele fala que a segurança baseada em syncookies possui uma falha de segurança.

  6. #6

    Padrão Ataques Syn Flood

    boa... ele diz o que é?



  7. #7

  8. #8

    Padrão Ataques Syn Flood

    Cara... tu tem estatística de quantas conexões por segundo e os horários de pico... já que exite essa brecha, poderia fazer um script para ser executado por horário...

    Sei que n dei a solução... mais espero ter dado uma idéia...


    :good:



  9. #9

    Padrão Ataques Syn Flood

    Não tenho a mínima idéia.
    Era justamente isso que eu queria saber.
    Se algém possui isso em seus firewalls.

  10. #10

    Padrão Ataques Syn Flood

    usa snort com guardian, :clap:

    com eles vc n se stressa com essas regras...

    abraço



  11. #11
    felco
    Visitante

    Padrão Ataques Syn Flood

    cara mas essa falha eh pro kernel do freebsd naum do Linux...

  12. #12

    Padrão Ataques Syn Flood

    Citação Postado originalmente por felco
    cara mas essa falha eh pro kernel do freebsd naum do Linux...
    Será mesmo? Essa é uma boa saber!



  13. #13
    Visitante

    Padrão Ataques Syn Flood

    Esta falha ocorreu no kernel do Linux no final de 2001... isto já foi corrigido há muito tempo. Se quer fazer um controle antiflood no netfilter faça por uma nova chain. Ao invés de dar o ACCEPT para os serviços que te interessa abrir use a chain. Dependendo do tipo de serviço e conexões simultâneas vc estará dando um tiro no pé! O melhor é usar a proteção tcp_syncookies mesmo!

    Citação Postado originalmente por roggy
    Citação Postado originalmente por felco
    cara mas essa falha eh pro kernel do freebsd naum do Linux...
    Será mesmo? Essa é uma boa saber!

  14. #14

    Padrão Ataques Syn Flood

    Citação Postado originalmente por Anonymous
    Esta falha ocorreu no kernel do Linux no final de 2001... isto já foi corrigido há muito tempo. Se quer fazer um controle antiflood no netfilter faça por uma nova chain. Ao invés de dar o ACCEPT para os serviços que te interessa abrir use a chain. Dependendo do tipo de serviço e conexões simultâneas vc estará dando um tiro no pé! O melhor é usar a proteção tcp_syncookies mesmo!
    Caro,

    poderia indicar onde achou essa informação? Queria saber mais sobre essa falha.

    :good:



  15. #15

    Padrão Ataques Syn Flood

    acho que vc devia analisar o trafego na sua rede, ver a que horas vc tem mais trafego, e a que horas o trafego é menor..
    dps, aumetnar ou reduzir o limite, conforme o horario.., faça um script ke rode no cron ou assim..
    acho k seria uma boa idea..

  16. #16
    Visitante

    Padrão Ataques Syn Flood

    Isso ai é notícia muito antiga, já não sei mais te dizer uma fonte exata. Mas vc encontra isto facinho no google. Lembro quando esta falha foi divulgada, mas foi no final de 2001. Era uma falha de kernel e logo que foi descoberta a única solução era desabilitar o recurso - até que a correção fosse disponibilizada. Se não me engano era possível o ganho de root shell. No site da Conectiva tinha esse alerta a explicação toda tb. Outras falhas de kernel foram descobertas e todas as versões de kernel inferiores a 2.4.26 possuem falhas gravíssimas! Hj não tem mais essa de deixar o tcp_syncookies desabilitado.

    Citação Postado originalmente por roggy
    Caro,
    poderia indicar onde achou essa informação? Queria saber mais sobre essa falha.
    :good: