Forum

SYN attack defence
 
Bildirimler
Hepsini Temizle

SYN attack defence

5 Yazılar
4 Üyeler
0 Reactions
599 Görüntüleme
(@kayhankayihan)
Gönderiler: 854
Noble Member
Konu başlatıcı
 

Merhaba arkadaşlar,

Saniyede 1.5 milyon  SYN atak paketi alan bir yapıyı nasıl korurdunuz, fikirlerinizi bekliyorum.

 Kolay gelsin.

 
Gönderildi : 23/06/2012 20:50

(@mustafakasikci)
Gönderiler: 811
Noble Member
 

Aynı IP den gelen connection sayısını Max 2 veya 3 yapın büyük ölçüde çözülecektir.

 
Gönderildi : 24/06/2012 00:34

(@AfsinTaskiran)
Gönderiler: 45
Eminent Member
 

Network katmaninda gelen, ayni profildeki SYN flood ise rate limit yapan cihazlarla bu saldiriya karsi koyabilirsiniz. Ancak application katmaninda, farkli agent lerdan, farkli browser lardan hele ki botnet lerden gelen yuksek capta "gercek" isteklerse daha yetenekli sistemlere bakmaniz gerekiyor.

http://www.checkpoint.com/products/ddos-protector/index.html

 
Gönderildi : 24/06/2012 00:52

(@kayhankayihan)
Gönderiler: 854
Noble Member
Konu başlatıcı
 

Araştırmalarımın sonucunu sizlerle paylaşmak istedim, benden sonra gelecek olan arkadaşlarada fayda sağlaması düşüncesi ile.

 

Normal
0

21

false
false
false

TR
X-NONE
X-NONE

MicrosoftInternetExplorer4

/* Style Definitions */
table.MsoNormalTable
{mso-style-name:"Normal Tablo";
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-priority:99;
mso-style-parent:"";
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin:0cm;
mso-para-margin-bottom:.0001pt;
mso-pagination:widow-orphan;
font-size:10.0pt;
font-family:"Times New Roman","serif";}

Gelen saldırı hat kapasitemizden
büyük ise hat sağlayıcınız dan destek almak zorundayız aksi taktirde bizim
yapabileceğimiz bir şey yok.

 Saldırı gerçek ip lernden
geliyor ise, gelen ip leri tespit ederek o ip ler bloklanabilir.(Çok ciddi bir
botnet agı olmaması durumunda),

 

Bir ip den gelecek saniyedeki
paket sayısını limitleyerek ilgili problem çözülebilir gibi görünüyor.

 

bu şekilde sisteme gelen
saldırıyı ciddi oranda kesebilriiz. Ek olarak gerçek ip lerden gelen
saldırılarda ip adresleri belli bir lokasyona ait ise (TR, US, UK v.s.)
lokasyon bazlı ip filitreleme yapılabilir gibi görünüyor.

 

IP adresleri sahte ise Syn
cookie, syn cache, syn proxy, syn rate limit özelliği olan bir cihaz ile bu
saldırı engellenebilir gibi görünüyor, (Cihazın ram ve cpu kaynağı hayati önem
kazanıyor.)

 

Gelen saldırının hedef port,
kaynak portu gibi bilgileri tespit edilerek statik değerler ise hedef ve kaynak
port kapatılabilir.(Her zaman mümkün olmayabilir.) Hedef ve kaynak porta göre filitreleme yapılabilir.

 

 
Gönderildi : 28/06/2012 16:32

(@seyitozgur)
Gönderiler: 219
Estimable Member
 

1.500.000 syn packet/sec bir değerden bahsediyorsun.. İlk önce bunu karşılayacak sistem işini çözmen lazım.. Bu paket sayısını process edebilecek network kartı, cpu, uygulamayı yapılandırdıktan sonra Rate limiting veya IP blok gibi işlemleri yapabilirsin..

Piyasada 1.500.000 syn paketine (açık porttan) stabil dönecek ürün seviyesinin az olduğunu düşünüyorum.. 

 
Gönderildi : 28/06/2012 17:54

Paylaş: