Mitigando un ataque Syn Flood
A la hora de fortificar un sistema para contrarrestar un ataque de tipo Syn Flood existenparámetros que se pueden configurar en el sistema operativo para hacerlo mas resistente.
En sistemas Linux:
Primer paso,
activar las syn cookies (mas información sobre que es y como se construye una syn cookie
aquí)
# sysctl -w net.ipv4.tcp_syncookies="1"
Segundo paso,
aumentar el 'backlog queue' (es decir, dar mas holgura al sistema para procesar peticiones entre-abiertas)
# sysctl -w net.ipv4.tcp_max_syn_backlog="2048"
Tercer paso,
hacer que el sistema minimice el tiempo de espera en la respuesta al SYN+ACK. En principio un sistema Linux 'por defecto' esperará 3 minutos, nosotros lo vamos a dejar en 21 segundos
#sysctl -w net.ipv4.tcp_synack_retries=2
(una vez probados los cambios, hay que hacerlos permanentes en /etc/sysctl.conf)
En sistemas Windows :
Activación de la
protección anti Syn Flood:
C:\>reg add HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Param eters /v SynAttackProtect /t REG_DWORD /d 1
Aumentamos
el 'backlog queue'
C:\>reg add HKLM\System\CurrentControlSet\Services\AFD\Paramet ers /v EnableDynamicBacklog /t REG_DWORD /d 1
C:\>reg add HKLM\System\CurrentControlSet\Services\AFD\Paramet ers /v MinimumDynamicBacklog /t REG_DWORD /d 20
C:\>reg add HKLM\System\CurrentControlSet\Services\AFD\Paramet ers /v MaximumDynamicBacklog /t REG_DWORD /d 20000
C:\>reg add HKLM\System\CurrentControlSet\Services\AFD\Paramet ers /v DynamicBacklogGrowthDelta /t REG_DWORD /d 10
Decrementamos el tiempo de espera
en conexiones 'Half Open'
C:\>reg add HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Param eters /v TcpMaxConnectResponseRetransmissions /t REG_DWORD /d 2
Ya solo queda rebootar Windows para que los cambios tengan efecto
[+] Las configuraciones han sido extraídas
de este magnífico artículo
Publicado por Yago Jesus en http://www.securitybydefault.com/2010/02/syn-flood-que-es-y-como-mitigarlo.html
Marcadores