Resultados 1 al 2 de 2

Tema: Syn Flood, que es y como mitigarlo

  1. #1 Syn Flood, que es y como mitigarlo 
    HH Administrator Avatar de LUK
    Fecha de ingreso
    Oct 2001
    Ubicación
    SpaÑa
    Mensajes
    5.036
    Descargas
    179
    Uploads
    246
    Hoy día es sorprendente ver como ataques que fueron descritos a principios de los 90 perduran y siguen siendo efectivos en un buen numero de situaciones.


    Uno de ellos, tal vez de los más clásicos, es el Syn Flood. Este tipo de ataque es posible debido a la forma en la que funcionan las conexiones TCP. Cuando un extremo desea iniciar una conexión contra otro equipo, inicia la conversación con un 'SYN', el otro extremo ve el SYN y responde con un SYN+ACK, finalmente el extremo que empezó la conexión contesta con un ACK y ya pueden empezar a transmitir datos.


    Un ataque de tipo Syn Flood lo que hace es empezar un numero especialmente alto de inicios de conexión que nunca son finalizados, dejando al servidor a la espera del ack final, y por tanto consumiendo recursos de forma desproporcionada. Existen muchas herramientas escritas en todo tipo de lenguajes para hacer un ataque de tipo Syn Flood y no se requiere especial habilidad para llevar acabo un ataque de ese tipo.

    Mitigando un ataque Syn Flood

    A la hora de fortificar un sistema para contrarrestar un ataque de tipo Syn Flood existenparámetros que se pueden configurar en el sistema operativo para hacerlo mas resistente.


    En sistemas Linux:
    Primer paso, activar las syn cookies (mas información sobre que es y como se construye una syn cookie aquí)


    # sysctl -w net.ipv4.tcp_syncookies="1"


    Segundo paso, aumentar el 'backlog queue' (es decir, dar mas holgura al sistema para procesar peticiones entre-abiertas)


    # sysctl -w net.ipv4.tcp_max_syn_backlog="2048"


    Tercer paso, hacer que el sistema minimice el tiempo de espera en la respuesta al SYN+ACK. En principio un sistema Linux 'por defecto' esperará 3 minutos, nosotros lo vamos a dejar en 21 segundos


    #sysctl -w net.ipv4.tcp_synack_retries=2



    (una vez probados los cambios, hay que hacerlos permanentes en /etc/sysctl.conf)



    En sistemas Windows :

    Activación de la protección anti Syn Flood:



    C:\>reg add HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Param eters /v SynAttackProtect /t REG_DWORD /d 1



    Aumentamos el 'backlog queue'



    C:\>reg add HKLM\System\CurrentControlSet\Services\AFD\Paramet ers /v EnableDynamicBacklog /t REG_DWORD /d 1



    C:\>reg add HKLM\System\CurrentControlSet\Services\AFD\Paramet ers /v MinimumDynamicBacklog /t REG_DWORD /d 20



    C:\>reg add HKLM\System\CurrentControlSet\Services\AFD\Paramet ers /v MaximumDynamicBacklog /t REG_DWORD /d 20000



    C:\>reg add HKLM\System\CurrentControlSet\Services\AFD\Paramet ers /v DynamicBacklogGrowthDelta /t REG_DWORD /d 10

    Decrementamos el tiempo de espera en conexiones 'Half Open'


    C:\>reg add HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Param eters /v TcpMaxConnectResponseRetransmissions /t REG_DWORD /d 2




    Ya solo queda rebootar Windows para que los cambios tengan efecto




    [+] Las configuraciones han sido extraídas de este magnífico artículo



    Publicado por Yago Jesus en http://www.securitybydefault.com/201...mitigarlo.html
    [][][] LUK [][][]
    hackhispano.com
    Citar  
     

  2. #2  
    Iniciado
    Fecha de ingreso
    Oct 2010
    Mensajes
    4
    Descargas
    0
    Uploads
    0
    Para evitar este tipo de ataques es obvio que con un FIREWALL bien configurado. es suficiente para detener este tipo de ataques.

    Cuando tienes el firewall en modo interactivo, te muestra toda las conexiones que establecen conexion con tu conexion. Osea al momento de enviar el SYN del otro lado el firewall lo detecta y se podria Denegar el acceso y rechazar todo ataque.
    Citar  
     

Temas similares

  1. Respuestas: 5
    Último mensaje: 07-10-2009, 22:57
  2. Respuestas: 3
    Último mensaje: 27-06-2006, 13:28
  3. Respuestas: 1
    Último mensaje: 16-04-2003, 13:20
  4. Respuestas: 2
    Último mensaje: 10-09-2002, 23:31
  5. como usar una cuenta host de arnet adsl como proxy
    Por darthMenem en el foro INGENIERIA INVERSA
    Respuestas: 1
    Último mensaje: 14-06-2002, 04:30

Marcadores

Marcadores

Permisos de publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •