Ataques Syn Flood

[fred_m]

Qual o valor ideal para eu colocar em uma regra para conter ataques syn flood ?? Se eu coloco um valor muito baixo, não poderei ter muitos acessos ao meu server, se coloco muito alto, fico sujeito a problemas.

Ex:
-m limit --limit 1/s --limit-brust 4 (4 conexões sym por segundo)

Grato.

[drginfo]

Se a política do teu firewall for default drop, não precisa fazer este tipo de regra, pois senão ao invés de bloquear você vai liberar acesso ok!

[fred_m]

a política default é drop.
Só que eu possuo serviços abertos, como email, ssh e http.
Um ataque syn flood pode ser inicado tendo em vista esses serviços.
Logo, devo colocar um limite. Que limite devo colocar, como calculo ???

Grato.

[roggy]

contra syn flood uso a opção:

echo 1 > /proc/sys/net/ipv4/tcp_syncookies

[fred_m]

Estou lendo o livro dominando linux firewall iptables de Urubatan Neto e ele fala que a segurança baseada em syncookies possui uma falha de segurança.

[roggy]

boa... ele diz o que é?

[fred_m]

Dá uma olhada em : http://www.linuxsecurity.com/content/view/104634/103/

[NO-BREAK]

Cara... tu tem estatística de quantas conexões por segundo e os horários de pico... já que exite essa brecha, poderia fazer um script para ser executado por horário...

Sei que n dei a solução... mais espero ter dado uma idéia...


:good:

[fred_m]

Não tenho a mínima idéia.
Era justamente isso que eu queria saber.
Se algém possui isso em seus firewalls.

[Brenno]

usa snort com guardian, :clap:

com eles vc n se stressa com essas regras...

abraço

[felco]

cara mas essa falha eh pro kernel do freebsd naum do Linux...

[roggy]

cara mas essa falha eh pro kernel do freebsd naum do Linux...

Será mesmo? Essa é uma boa saber!

Esta falha ocorreu no kernel do Linux no final de 2001... isto já foi corrigido há muito tempo. Se quer fazer um controle antiflood no netfilter faça por uma nova chain. Ao invés de dar o ACCEPT para os serviços que te interessa abrir use a chain. Dependendo do tipo de serviço e conexões simultâneas vc estará dando um tiro no pé! O melhor é usar a proteção tcp_syncookies mesmo!

cara mas essa falha eh pro kernel do freebsd naum do Linux...

Será mesmo? Essa é uma boa saber!

[roggy]

Esta falha ocorreu no kernel do Linux no final de 2001... isto já foi corrigido há muito tempo. Se quer fazer um controle antiflood no netfilter faça por uma nova chain. Ao invés de dar o ACCEPT para os serviços que te interessa abrir use a chain. Dependendo do tipo de serviço e conexões simultâneas vc estará dando um tiro no pé! O melhor é usar a proteção tcp_syncookies mesmo!

Caro,

poderia indicar onde achou essa informação? Queria saber mais sobre essa falha.

:good:

[The-shadow]

acho que vc devia analisar o trafego na sua rede, ver a que horas vc tem mais trafego, e a que horas o trafego é menor..
dps, aumetnar ou reduzir o limite, conforme o horario.., faça um script ke rode no cron ou assim..
acho k seria uma boa idea..

Isso ai é notícia muito antiga, já não sei mais te dizer uma fonte exata. Mas vc encontra isto facinho no google. Lembro quando esta falha foi divulgada, mas foi no final de 2001. Era uma falha de kernel e logo que foi descoberta a única solução era desabilitar o recurso - até que a correção fosse disponibilizada. Se não me engano era possível o ganho de root shell. No site da Conectiva tinha esse alerta a explicação toda tb. Outras falhas de kernel foram descobertas e todas as versões de kernel inferiores a 2.4.26 possuem falhas gravíssimas! Hj não tem mais essa de deixar o tcp_syncookies desabilitado.

Caro,
poderia indicar onde achou essa informação? Queria saber mais sobre essa falha.
:good: