Syn Flood: Resultados

Hide the menu at down Opens a blank page Hide the menu at right

Back to Home   

Home
Apresentação
:: Objetivos & Estratégia
:: Dados do Autor
Visão Geral
:: Scripts com o Iptables
:: Malformed Packets
ARP Poisoning
:: ARP Poisoning & default gateway
:: ARP Poisoning & Iptables
Denial of Service
:: TCP SYN FLOOD: características
:: Syn Flood: Resultados
:: Syn Flood: reações mais comuns
:: Syn Flood: reação viável atualmente
:: Syn Flood & Netfilter
:: Denial of Service (DoS): outros tipos

  • 2 a 3 K pacotes/segundo já são suficientes para causar DoS em todos os firewalls conhecidos (nem precisa dos 30 a 100 K pkts/s).

  • Firewall está em DoS => toda a estrutura de rede abaixo dele está em DoS, e não somente o endereço IP destinatário do ataque.

  • O recurso que os firewalls e equipamentos de rede costumam chamar de Syn Flood Defender não passa de um portscan defender, e ainda faz com que estes equipamentos entrem em DoS mais rapidamente.

  • Após alguns segundos sob TCP Syn Flood, todos os firewalls conhecidos precisam de um boot manual porque não conseguem retornar sozinhos à sua condição normal, após cessado o ataque.

  • Se colocarmos o OpenBSD, FreeBSD e Linux configurados em bridge (2 interfaces ethernet em série com o tráfego IP), os 2 primeiros atingem 100% de CPU no início de um DoS do tipo Syn Flood. O Linux mantém o consumo médio em torno de 15%.

  • Mesmo tendo baixo consumo de CPU durante o ataque, os recursos internos do Linux se tornam escassos e ocorre significativa degradação (mas não indisponibilidade). Há tempo para uma deteção e uma reação.
  •       
          

    Área de conteúdo atualizada em Wednesday, 2003-April-09 05:55:43 GMT-3 (São Paulo, Brazil, South America)