-
Abilitare i Syn Cookies
Con le vacanze era da un po' che non aggiungevo nulla nella sezione linux del mio sito.
Stamattina ho scritto e pubblicato una piccola guida che spiega come funzioni un attacco di Denail of Service Syn Flood (partendo da un'infarinatura sul three-way handshake), e come renderlo innocuo abilitando il supporto del kernel ai syn cookies (di default disabilitato).
Come al solito, commenti e suggerimenti sono ben accetti (specie se direttamente sul sito ;) )
http://greyfox.imente.org/index.php?id=63
Buona lettura.:ciaociao:
-
Interessante, non conoscevo la tecnica dei syn cookies.
Se ne avrò bisogno approfondirò...
Secondo me però si sposta solo il problema: invece di fare un attacco generando pacchetti di syn e basta, si può fare fermandoci appena la connessione è instaurata. A questo punto il server deve aver per forza allocato spazio non solo per le informazioni del client (che occupano poco), ma anche per il buffer di ricezione.
E' un attacco più pesante per il client che attacca, ma basta utilizzare un gruppo di pc zombie per fare un ddos equivalente (e meno rintracciabile in quanto distribuito).
-
Si mi sembra che teoricamente la cosa sia fattibile, resta comunque il fatto che è più difficile che qualcuno disponga delle capacità di sferrare un ddos da una rete zombie.
Secondo me resta un accorgimento valido per restringere il campo dei possibili attacchi.
-
Si, l'accorgimento è ottimo e sicuramente di grande effetto. Era solo per dire che in ambito reti non siamo mai abbastanza sicuri, risolto un tipo di attacco, ecco che ne arriva un altro. :D
Cmq ottima guida, molto semplice e comprensibile, anche per chi non è esperto del settore
-
Eh eh neppure un computer spento è un computer sicuro ;)
Grazie, ma veramente io non mi ritengo un esperto del settore (mi piacerebbe :D ), ho solo letto qualcosa e studiato qualcos'altro all'università, ma un centesimo di quello che mi piacerebbe sapere.
Sono contento che la guida ti sia piaciuta, cerco sempre per quanto possibile di fornire spiegazioni e non solo comandi da digitare.