Você está na página 1de 3

Linux: Proteção Syn Flood de verdade [Dica] http://www.vivaolinux.com.br/dica/Protecao-Syn-F...

Todo o site

» O que é GNU/Linux | Download do GNU/Linux | Anuncie | Fale Conosco Login | Cadastre-se


Visite também: BR-Linux.org · Dicas-L · Doode · NoticiasLinux · SoftwareLivre.org · UnderLinux

» Menu
Intranet Open Source

Artigos

.Conf

Comunidades

Dicas Dica

Fórum Home » Dicas » Linux » Segurança » Visualização de dica

Screenshots Proteção Syn Flood de verdade


Scripts
Publicado por Otávio Augusto Araújo Silva em 19/03/2009
Simulado
Login: octopos, 56912 pontos
[ Hits: 8723 ]

Denuncie + Favoritos Versão para impressora Indicar para um amigo Enviar dica

Proteção Syn Flood de verdade


Olá meus caros ;]
Cursos Oficiais VMware
Após ver um monte de scripts usando regras de iptables para evitar Syn Flood
facilitarem o ataque, resolvi escrever uma breve dica, sem o intuito de
aprofundar, deixando para o futuro (talvez?) um artigo completo.

Primeiro vamos entender rapidamente como seria uma conexão TCP correta:

Tem-se clientes(A), servidores(B), identificação cliente(Ic) e servidor (Is):

A envia um pacote com o flag SYN on e com um número de 4 bytes Ic, o B


recebe esse pacote e, caso aceite a conexão, responde (para o ip de origem) a
mesma com um pacote com os flags SYN e ACK on e com um número de 4
bytes Is e com Ic+1, caso o A ainda esteja lá (conectado) e queira estabilizar a
conexão, responde com um pacote contendo o flag ACK, Ic e com Is+1.
Certificações VCP e VCP-CLOUD
Sabendo como funciona, fica mais fácil de entender como o ataque ocorre,
simplesmente o atacante envia várias requisições de conexões com IPs
variados, fazendo spoofing do mesmo. Saiba mais

Requisições de conexões?

Sim, o atacante manda muitos pacotes apenas com o flag SYN on, fazendo o servidor responder com SYN-ACK para o ip (forjado), alocar os
Treinamento Zope Plone
recursos para a conexão, além de ficar aguardando pela resposta contendo o ACK, diminuindo os recursos do sistema, aumentando a demora
para responder novas conexões, verdadeiras ou falsas, até que o serviço que está ouvindo na porta não consiga mais responder, ocasionando
uma negação de serviço (DOS).
» Destaques
Bom, e então, esses scripts mágicos nos ensinam que:
FLISOL 2014 em São
# iptables -A FORWARD -p tcp --syn -m limit --limit 2/s -j ACCEPT Carlos-SP (2)
Analista de Testes Pl/Sr
Resolve o problema certo? - Santo André-SP (0)

A primeira vez que vi esse comando, pensei ser um erro do script que usei, porém ao buscar, vi que o mesmo é MUITO comum, então vamos FISL 15 - 15º Fórum
ver o que isso realmente faz: Internacional de
Software Livre (3)
» Últimos artigos Adiciona a regra no final da chain FORWARD (rejeita educadamente) conexões TCP com o flag syn on de forma a aceitar APENAS se tiver II Congresso de
limitado a 2 desses pacotes por segundo independente do ip... e se 3 clientes quiserem se conectar em 1 segundo? Software Livre do
GNU/Linux no mundo Nordeste (0)
corporativo Pois bem, 1 deles terá a conexão rejeitada, educadamente é claro ( :P ), mas a nível de um ataque, se o atacante mandar 40 "pacotes syn" Chamada de Trabalhos
por segundo, dando um chute alto para sempre aceitar, ele sozinho causará a negação de serviço com um número de pacotes MUITO abaixo para o FLISOL 2014 em
Como simular fluidos do necessário para causar do DOS caso não houvesse essa regra no iptables! Bastava enviar 2 conexões, no caso dele conhecer a regra, para
3D com o Blender São Carlos - SP
causar o DOS... [RESOLVIDO]... (17)
Linguagem C - O
primeiro programa Bem, isso só facilita o ataque ao invés de tentar proteger :| Como tirar suas
dúvidas (10)
DSpace no Ubuntu
E a solução?
12.04 - Instalação via
Banco de Dados Oracle
# echo "1" > /proc/sys/net/ipv4/tcp_syncookies » Screenshot
11g
Robótica com Android e Uaal, mas e aí, por que isso funciona?
Arduino
DHCP e VLANs no Bem, lembra do processo que descrevi para a conexão?
CentOS 6.5 - Instalação
e configuração Então, com isso o servidor SÓ irá alocar recursos após receber o ACK com Ic e Is+1, evitando clientes "fantasmas", ou seja, aqueles que
mandam um pacote SYN com um IP falso e não recebem o pacote com SYN-ACK com Ic+1 e Is.

Aí está! Por User-kuruma


» Últimas dicas
Acredito que, considerando as limitações existentes em uma curta dica, a mesma ajudará a abrir os olhos e possibilitará entender melhor as
GLPI no Ubuntu Server coisas antes de copiar e colar. :P
» Login
14.04 LTS
Monografia - Qualquer erro ou acréscimos, sintam-se livres!
Comparativo de
desempenho entre =]
Servidor Virtualizado e
Servidor Físico de Proxy Like Tweetar
Configurando SIS
671|72 no Ubuntu
14.04
Ubuntu + Windows 8 Outras dicas deste autor
como dual boot Nenhuma dica encontrada.

1 of 3 26-04-2014 04:24
Linux: Proteção Syn Flood de verdade [Dica] http://www.vivaolinux.com.br/dica/Protecao-Syn-F...

Temas de login GDM e Login:


MDM HTML5 no Linux Leitura recomendada
Mint 16 Senha:
Convertendo uma chave privada OpenSSL para uma chave pública/privada do OpenSSH
O que fazer após
Bloqueando o Hamachi no Mikrotik
instalar o Ubuntu 14.04
Vídeo Aulas sobre Redes
Ubuntu 13.10/14.04 netstat -ltunp: Descobrindo serviços rodando no sistema e respectivos PIDs Se você ainda não
em dual-boot com DROP ou REJECT no iptables? possui uma conta,
Windows 8 clique aqui.

timeout - Controlando o Comentários Esqueci minha senha


tempo que um
[1] Comentário enviado por gewehr em 03/11/2013 - 15:53h:
comando deve ser
executado
boa tarde
» Top 10 do mês
Existem poucas literaturas sobre o assunto, mas recentemente li uma obra e esta cita que em meados de 2002, o Sr Manfred Spraul,
detectou que os syn-cookies continham uma vulnerabilidade em sua estrutura que possibilitavam ao atacante contornar as regras de firewall
» Últimos scripts e efetivamente abrir uma conexão para a porta protegida, recomendando assim desabilitar o tcp_syncookies do firewall. Pergunto se isso é Xerxes Lins (140556
verdade e a partir de qual versão do kernel esta falha foi corrigida? pts)
[Shell Script] Alberto Federman Neto.
Gerenciador de contas (69184 pts)
de usuários [2] Comentário enviado por elgio em 27/03/2014 - 21:30h:
clodoaldo (62034 pts)
[Perl] Validador de http://www.vivaolinux.com.br/artigo/Iptables-protege-contra-SYN-FLOOD/ Fábio Berbert de Paula
cartão de débido e (60108 pts)
crédito em Perl
Daniel Lara Souza
[Perl] Gerador de CPF [3] Comentário enviado por octopos em 28/03/2014 - 15:23h: (56083 pts)
válido em Perl
Alessandro de Oliveira
Havia tempos em que não acessava o email relacionado a esta conta ... =(
[Perl] Zend Framework Faria (A.K.A. CABELO)
application.ini (47035 pts)
Essa foi uma dica muito superficial e imatura ehehe.... a escolha no uso ou não o tcp sync cookies depende de diversos fatores para ser
vulnerability exploit
válida. André L. (pinduvoz)
[Shell Script] Existem porém diversas referências que mencionam o tradeoff envolvido no uso, e mesmo a sua eficiência. (41523 pts)
Montagem fácil de
Cicero Juliao da Silva
pendrive Não vou me estender aqui, recomendo uma lida em : http://www.jakoblell.com/blog/2013/08/13/quick-blind-tcp-connection-spoofing- Junior (34198 pts)
with-syn-cookies/ , e principalmente nas referências.
Edson (31975 pts)

» SegInfo =] Davidson Rodrigues


Paulo (27984 pts)

Ataques de DDoS se
[Ranking Geral]
intensificam e
corporações ainda Contribuir com comentário
estão despreparadas e
vulneráveis
[Livro] Análise Forense
Anúncios Google
em Redes de ► Linux ubuntu
Computadores (via
@ricardokleber) ► Linux iptables
Mercado aquecido de SI ► Rede proteção
e TI estimula busca por
» Perguntas
certificações nacionais e
internacionais
CONFIGURAÇAO (2)
Dilma anuncia
implantação de sistema Conexão de rede no
seguro de emails em Xubuntu 14.04 (9)
todo governo federal Instalei o Ubuntu mas
Opiniões sobre não consigo dar boot
privacidade na internet: pelo dvd. (3)
Qual a sua? PacketTracer nao
inicia[AJUDA] (2)
problema permissões
Enviar Limpar no hd (0)
Para executar esta ação você precisa estar logado no site, caso contrário, tudo o que for digitado será perdido. iReadmail - Ajuda para
publicar na web
[RESOLVIDO] (6)
SSD e HD (0)
Criar partição só para
salvar arquivos do
Linux (8)

» .Conf

[MRTG] mrtg.conf -
MRTG com gráficos de
eth0, eth1, HD, mem e
CPU
[Tint2] tint2rc -
Configuração do Tint2
inspirada no tema
Numix ...
[xmodmap] confteclas -
Configuração de teclado
Netbook Login 1010
[Window Maker]
WMRootMenu -
Segundo WMRootMenu
que eu posto aqui no
VOL
[zsh] .zshrc - Meu
incrível shell zsh

Contribuir com: [ Artigo | Conf | Dica | Evento | Oportunidade de trabalho |Pergunta | Script | Screenshot ]

Responsável pelo site: Fábio Berbert de Paula - Conteúdo distribuído sob licença GNU FDL Site hospedado por:

Estatísticas do site

2 of 3 26-04-2014 04:24
Linux: Proteção Syn Flood de verdade [Dica] http://www.vivaolinux.com.br/dica/Protecao-Syn-F...

Equipe de moderadores
Viva o Linux
FAQ: Perguntas freqüentes
A maior comunidade Linux da América Latina!
Artigos, dicas, tutoriais, fórum, scripts e muito Membros da comunidade
mais. Ideal para quem busca auto-ajuda em
Linux.

3 of 3 26-04-2014 04:24

Você também pode gostar