TCP SYN FLOOD: características

Hide the menu at down Opens a blank page Hide the menu at right

Back to Home   

Home
Apresentação
:: Objetivos & Estratégia
:: Dados do Autor
Visão Geral
:: Scripts com o Iptables
:: Malformed Packets
ARP Poisoning
:: ARP Poisoning & default gateway
:: ARP Poisoning & Iptables
Denial of Service
:: TCP SYN FLOOD: características
:: Syn Flood: Resultados
:: Syn Flood: reações mais comuns
:: Syn Flood: reação viável atualmente
:: Syn Flood & Netfilter
:: Denial of Service (DoS): outros tipos

Características típicas:

  • 30 a 100 K pacotes/segundo (um portscan gera em torno de 0.5 a 1.0 K pacotes/segundo).

  • Pacotes tipicamente de 40 bytes.

  • Endereço de origem falsificado sem repetição (para dificultar identificação da origem).

  • A quase totalidade das Operadores não tem processos bem definidos para identificar a interface mais externa de sua rede por onde entra o DoS.

  • Endereço de destino bem determinado.

  • Um laptop PIII 600 MHz é capaz de gerar 17 K pacotes/segundo com falsificação randômica do endereço IP de origem.

  • O que a Imprensa costuma divulgar como DDoS costuma não passar de DoS proveniente de uma única máquina.

  • Sintoma 1: ataque SYN flood à porta de http de um cliente brasileiro? Causa provável: alguém nos EUA está muito nervoso porque recebeu um SPAM anunciando o tal website, e o ISP não respondeu ou não tomou atitude.

  • Sintoma 2: o ataque passou a se estender para outros servidores "inocentes"? Causa provável: o SPAM é muito insistente e o tal carinha que o recebeu está hiper nervoso. Solução: a mais barata costuma ser cancelar o contrato com o seu cliente que hospeda o site do spammer?

  •       
          

    Área de conteúdo atualizada em Wednesday, 2003-April-09 05:34:00 GMT-3 (São Paulo, Brazil, South America)