Tråd bedømmelse:
  • 0 Stemmer - 0 Gennemsnit
  • 1
  • 2
  • 3
  • 4
  • 5
SYN_FLOOD og teori
05-06-2013, 17:21
#1
SYN_FLOOD og teori
Nu er det efterhånden et stykke tid siden jeg har roddet med pakker og TCP forbindelser, så bær over med mig. Jeg er lidt halv rusten lige der.

Men, når vi snakker om SYN_FLOOD, så er jeg med på at det gælder om at oversvømme modtageren med SYN requests. MEN jeg kan simpelthen ikke huske om disse 2 scenarier giver samme resultat eller 2 forskellige:

1:
Angriber 1 sender SYN requests til Mål 1 på forskellige porte

2:
Angriber 1 sender SYN requests til Mål 1 på samme port

Er det hårdere for Målet at behandle en milliard SYN request på samme port en det er på forskellige porte?

Ideen er vel egenligt bare at serveren ikke kan følge med når den har halvåbne connections, hvor det burde være ligegyldigt hvilken port det er på? Det er vel ikke sådan at hvis jeg sender en milliard SYN requests til port 80, så er det kun traffik på port 80 der bliver blokeret, men traffik på, say port 21, er ikke blokeret?

Er der nogen der kan huske dette?
Find alle beskeder fra denne bruger
Citer denne besked i et svar
05-06-2013, 20:58
#2
RE: SYN_FLOOD og teori
Som du selv siger er ideen jo bare at overbelaste serveren med connections, hvor den står og venter på svar fra klienterne. Om det så er på den ene eller anden port vil jeg tro er ligemeget så længe det bliver overbelastet.
Don't learn to hack, hack to learn
Find alle beskeder fra denne bruger
Citer denne besked i et svar
05-06-2013, 21:10 (Denne besked var sidst ændret: 05-06-2013, 21:12 af Morph3s.)
#3
RE: SYN_FLOOD og teori
Note: Jeg aner intet om dette.

Men, hvis du har 1 gb bandwidth.

Om du så fylder 500mbit i port 80 og 500mbit i port 21 eller bare 1 gb i port 80, eller 1 gb i port 21.
Jeg tror det giver det samme resultat. Alt bandwidth bliver jo opbrugt. Om det opnås ved at floode forskellige porte eller en port er vel det samme.

Dog ved jeg ikke om man ved firewalls kan begrænse en mængde traffic på en bestemt port. I det tilfælde ville det nemlig give god mening at bruge flere porte.
Følg mig på twitter: https://twitter.com/Morph3s
Find alle beskeder fra denne bruger
Citer denne besked i et svar
06-06-2013, 01:22 (Denne besked var sidst ændret: 06-06-2013, 01:26 af Doctor Blue.)
#4
RE: SYN_FLOOD og teori
SYN flood overbelaster serveren ved at sende en masse data i form af SYN requests. Serveren bruger så også TX (udgående/upload) båndbredde på at sende SYN-ACK tilbage, og holder derefter forbindelsen åben i et par sekunder og venter på at få en ACK fra klienten. Hvis den ikke modtages bliver socket'en lukket og forbindelsen afbrydes.
Meget software har nogle begrænsninger i antal forbindelser per port, og det kan derfor være en fordel at angribe på samtlige porte.
For at sige Morph3s lidt imod, så har båndbredde ikke så meget at sige ifht. SYN flood, da det er pakkernes behandling der skal tages i betragtning. Derfor tæller man typisk i PPS (Packets per second). Dette er fordi en packet er nok til at åbne en forbindelse, og som Spagnum siger, så virker angrebet ved at åbne så mange forbindelser som muligt, så serveren enten bruger for meget CPU-time eller løber tør for RAM (Afhængig af om den prøver at filtrere det fra, eller bare kører med på den)

Slowloris er smartere under alle omstændigheder, da den gør det samme, men deler det hele op i 1-byte packets og sender dem med så lang tid som muligt i mellem, så forbindelserne holdes åbne i endnu længere tid.
Mangler du hjælp?
Regler |  E-mail (PGP)
Besøg denne brugers hjemmeside Find alle beskeder fra denne bruger
Citer denne besked i et svar
06-06-2013, 07:21
#5
RE: SYN_FLOOD og teori
Mange tak for input.

Jeg mente også at det ville være nok at åbne på så mange porte som muligt.
En ide kunne eventuelt være at lave et TCP scan inden man sender et TCP syn afsted, så man ved hvilke porte der tager imod TCP (Ingen grund til at spilde pakker på lukkede porte...)?
Find alle beskeder fra denne bruger
Citer denne besked i et svar
06-06-2013, 12:58
#6
RE: SYN_FLOOD og teori
(06-06-2013, 07:21)op3rat0r Skrev: En ide kunne eventuelt være at lave et TCP scan inden man sender et TCP syn afsted, så man ved hvilke porte der tager imod TCP (Ingen grund til at spilde pakker på lukkede porte...)?

yes - ville under alle omstændigheder scanne for åbne port først. Jeg tror måske ofres FTP deamonen har et maximum på open connections. (nu du nævnte port 21). Hvorimod port 80 oftes ingen begrænsninger på da den jo helst skal kunne servicere så mange som muligt.

Men hvis man havde mulighed for det kan det da kun give lidt ekstra pres på hvis man også sender til port 21.
Don't learn to hack, hack to learn
Find alle beskeder fra denne bruger
Citer denne besked i et svar
06-06-2013, 18:03
#7
RE: SYN_FLOOD og teori
Rigtige mænd laver kun DoS på lag 7 ;)

I en syn flood når trafikken vel aldrig forbi transportlaget?
Find alle beskeder fra denne bruger
Citer denne besked i et svar
06-06-2013, 18:10
#8
RE: SYN_FLOOD og teori
(06-06-2013, 18:03)dagGi Skrev: Rigtige mænd laver kun DoS på lag 7 ;)

Lols... eller noget! :D
Jeps.. SYN/ACK/PSH/FIN og alle de der flags ligger vist i i transport layeret så vidt jeg husker.
Don't learn to hack, hack to learn
Find alle beskeder fra denne bruger
Citer denne besked i et svar
06-06-2013, 20:09 (Denne besked var sidst ændret: 06-06-2013, 20:09 af Doctor Blue.)
#9
RE: SYN_FLOOD og teori
(06-06-2013, 18:03)dagGi Skrev: Rigtige mænd laver kun DoS på lag 7 ;)

I en syn flood når trafikken vel aldrig forbi transportlaget?

Nej, rigtige mænd angriber begge lag på samme tid, det er meget almindeligt og somme tider også nødvendigt for at tage større netværk ned.
Men korrekt Spagnum, SYN ligger i transportlaget, det er et angreb mod TCP protokollen :)
Mangler du hjælp?
Regler |  E-mail (PGP)
Besøg denne brugers hjemmeside Find alle beskeder fra denne bruger
Citer denne besked i et svar
« Ældre | Nyere »




User(s) browsing this thread: 1 Gæst(er)