|
2 a 3 K pacotes/segundo já são suficientes para causar DoS em todos os firewalls
conhecidos (nem precisa dos 30 a 100 K pkts/s).
Firewall está em DoS => toda a estrutura de rede abaixo dele está em DoS,
e não somente o endereço IP destinatário do ataque.
O recurso que os firewalls e equipamentos de rede costumam chamar de Syn
Flood Defender não passa de um portscan defender, e ainda faz com
que estes equipamentos entrem em DoS mais rapidamente.
Após alguns segundos sob TCP Syn Flood, todos os firewalls conhecidos precisam
de um boot manual porque não conseguem retornar sozinhos à sua condição normal,
após cessado o ataque.
Se colocarmos o OpenBSD, FreeBSD e Linux configurados em bridge (2 interfaces
ethernet em série com o tráfego IP), os 2 primeiros atingem 100% de CPU no início de
um DoS do tipo Syn Flood. O Linux mantém o consumo médio em torno de 15%.
Mesmo tendo baixo consumo de CPU durante o ataque, os recursos internos do Linux
se tornam escassos e ocorre significativa degradação (mas não indisponibilidade).
Há tempo para uma deteção e uma reação.
|
|
|
|
|