Nová zranitelnost operačních systému Windows

Windows 2003 SP1

Sou sracka...

Ach jo, to je zase debata na úrovni. Nechceš to napsat ještě větším písmem?

Klidne, kdyz o to tak stojis Vole

Protože se mluví o serverovém problému, je všem, kdo o problému něco ví, jasné, že se nejedná o desktopový OS, ale o Windows Server  2000   a   2003  s patřičnými SP. Pokud nevíš, co to Windows Server je, tak drž klapačku a neskákej do hovoru, když se baví dospělí...

Hm tento typ utoku nepatri ezi ty jedodussi ale asi nebude trvat dlouho a objevi se nastroje ktere to udelaji za "nas" (pokud uz se tak nestalo).
Ale velkym mnozstvim SYN lze zpusobit i jiny DoS utok a nebo znepristupnit dostupnost sluzby pres TCP/IP. A to tzv SYN FLOOD utokem, kdy je zaslano velke mnozstvi SYN (TCP paket s pozadavkem na otevreni spojeni) paketu. Vyhoda tohoto utoku je ze se lze proti nemu jen velice tezko branit a je obtizne detekovatelny skutecny utocnik. Nevyhodou pak je ta ze utocnik musi utocit tak dlouho dokud chce drzet sluzbu nedostupnou. Cely tento utok spociva v tom ze server pozadame o tolik spojeni az uz dalsi nebude mozne obslouzit (ve skutecnosti vsak pozadavek na spojeni nikdy nedokoncime a server tak nejakou dobu ceka nez ho dokoncime a tim si zabira pamet). V paketu lze podvrhnout i IP odesilatele pozadavku, takze po nas neni zadna stopa. Obrana je jednoducha, omezeni maximalniho poctu ne uplne otevrenych spojeni, nicmene tim utocnikovi nahravame opet, protoze pak staci dojit pouze do teto urovne a serrver sice nezahltime nicmene znepristupnime "vsechny okna a dvere" pro vstup k sitove sluzbe. A tak se ostatni klienti opet nepripoji, nebo jen obtizne pripoji...
Ovsem tato chyba je zpusobena spatnym navrhem a spis samotnym principem fungovani TCP/IP protokolu nez samotnym operacnim systemem.... kdezto chyba v SynAttackProtect funkci je zpusobena chybou samotneho OS

jj, brani se tomu nelehce, pokud na me prijde vic, jak 4 SYN pakety za sec. zahazuji je, nejdrive jsem mel v umyslu je vracet, ale tim bych mohl zafloodovat nevinneho, pokud by byla IP podvrzena

myslite neco jako:

$IPTABLES -N syn-flood
$IPTABLES -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
$IPTABLES -! syn-flood -j DROP

Ano, to je opravdu extremne slozita obrana

omlouvam se, misto:

$IPTABLES -! syn-flood -j DROP

patri:

$IPTABLES -A syn-flood -j DROP

neco takovyho, znate neco lepsiho?

Ano. Cokoliv je lepsi nez toto "reseni". Timto utok jeste vyrazne usnadnis.

muzes uvest priklad? mam pocit, ze jen placas blbosti..

Tak mi teda vysvetli, jak si rate-limitovanim SYN paketu pomuzes. Budes zahazovat nejen SYN pakety utocnika (tech bude behem utoku vetsina), ale take SYN pakety regulernich uzivatelu. A navic tech paketu utocnikovi k vyvolani DoS situace ted staci jeste mene...

mno asi mas pravdu, ale radsi budu zahazovat pakety, nez kdyby dana sluba mela byt odstrelena, na vyzirani sys prostredku, ci zaplacavani diskoveho prostoru, nekonecnym logem, 0B nemaji rady ani ostatni sluzby co chteji logovat. Takze kdyz nemohu zabranit zaplave paketu, tak se alespon trochu snazim chranit svoje sluzby, jeste je sance, ze utocnim ma uzsi hrdlo do Inetu nez ja a pak se sic s obtizemi muze ke me protlacit i nekdo jiny.
Kdyz si teda zrovna nehraje s DDoS.

rovnou aby IDSka to zahazoval , ani tisice TCP SYN/FIN Paceketu apod za sekundu te neshodi pokud pouzivas trochu profesionalni hw...

jojo jenze zkuste neco podobneho aplikovat na velkych serverech kde jsou ty pakety v radech stovek za sekundu...

Fireman: primlouvam se at dostanete polovinu honorare za tento clanek!

Souhlas

Nesouhlas. Obrana proti SYN flood utoku je jasna: SYN cookies.