Syn Flood dan Korunma
Syn Flood Korunma
Bilinen bazı uygulamalar bu makalede yazılanların güvenilir olduğunu kaleme almıştır. Bunun için bir sunucum olmadığından dolayı yazıları dikkatli okumanızı öneriyorum.
Syn flood için korunmasında en etkili yöntemleri alt kısımda sıralıyorum , Not : daha önceki makalemi okumanız gerekiyor.
Tcp timeout değerini düşürme,Standartı: Syncookie/SynProxy
Linux sistemlerde syncookie ile yapıla bilir.Syncookie STATE tutmaz state tablosunu kullanmaz
- Bilinen bir çözüm : ip,port,paket özelliklerine göre aktif edile bilme yada kapatıla bilme özelliği
- pass in log(all) quick on $ext_ifproto tcpto $web_serversport {80 443} flags S/SA synproxystate
- Juno ya dikkat random olması bazı rooter larda etkilidir eğer gerekli önlemi almasanız yandınız. hacker kod bilgisi yoksa zaten juno da fazla etkili olamaz.
- log da sıkıntı çakara bilir.
- TCP TİMEOUT saldırı yapıldığında değeri 1/10 getire bilirsiniz bununla birlikte saldırının etkisinin azaldığını göre bilirsiniz.
- linux sysctl manuel
- OPENBSD PF set timeout {tcp.first 10, tcp.opening 10 tcp.closing 33, tcp.finwait 10, tcp.closed 20}
- Packet Filter adaptive timeoutözelliği!–State tablosu dolmaya başladıkca timeout değerlerini oto azalt!
- Rete limiting bir IP adresinden fazla istek gelirse engelleneceklere ekle ve o IP adresine ait oturumu tablosunu boşalt
OpenBSD Packet Filter–... flags S/SA synproxystate (max-src-conn500, max-src-conn-rate 100/1, overload <ddos_host> flush global)
•Linux iptables modülleri–-m limit, recent
Daha önce state oluşturmuş, legal trafik geçirmiş ip adresleri
•Ülkelerin IP bloklarına göre erişim izni verme–Saldırı anında sadece Türkiye IP’lerine erişim açma bilirsniz (((IP spoofing kullanıldığı için çoğu zaman işe yaramıyor.)))
•DNS round-robin & TTL değerleriyle oynayarak engelleme
•Ülkelerin IP bloklarına göre erişim izni verme–Saldırı anında sadece Türkiye IP’lerine erişim açma bilirsniz (((IP spoofing kullanıldığı için çoğu zaman işe yaramıyor.)))
•DNS round-robin & TTL değerleriyle oynayarak engelleme
İşe yarayacaklar
https://www.countryipblocks.net/country_selection.php : IP blogları
Random Ip üretiliyorsa yukarıda olan komut sistemi rahatlatır. Taki işi bilen hacker işi düzenleyene kadar.
Linux/UNIX makine)n saldırıyı analiz etmek için paket kaydı yapılmalıdır. Bunun için tcpdump kullanılabilir. #tcpdump -ttttnn -s0 tcp -w SYNFLOOD.pcap & Tcpdump ile sadece SYN bayraklı TCP paketlerini görmek için verilecek komut: tcpdump 'tcp[13] & 2 != 0' -i eth0 -nnn
saldırı boyutu yüksek olabilir bunun ile birlikte syncookie vs devre dışı kalabilir bunun için alternatif yolları kullanarak koruna bilirsiniz. IP değiştirme gibi. Farklı korunma yolları da mevcut yani.
Kaynak için bazı web sitelerinden bilgi alınmıştır.
Yorumlar
Yorum Gönder