Windows 2003 Server SYN Saldırı Engelleme

Merhaba

Firewall üzerinden bunu kesebilirsiniz ancak windows seviyesinde çok zor.

Merhaba Hakan Bey, Yazılımsal bir çözüm yolu bulamazmıyız nette araştırma yaparken şöyle bir döküman buldum sizce faydası olurmu.

1-) Registry editörünüzü çalıştırın ve HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Param eters değerini bulun
2-) Edit menüsünden Yeni bir DWORD değeri oluşturmayı seçin ve
3-) Adını “SynAttackProtect” verin.
4-) Yarattığınız anahtarın üzerinde çift tıklayın ve değerini “2″ verin
5-) Registry editörünü kapatın ve makinanızı tekrar başlatın
Burada “SynAttackProtect” değişkeninin kabul edilen başlangıç değeri 0 (sıfır) dır. Ve koruma kapalıdır.
Verilecek “1″ değeri ise en yüksek TCP bağlantı değerine ulaşıldığında
(Örneğin; bağlantının SYN_RECEIVED durumu TcpMaxHalfOpen olarak bilinir)
ve tekrar ile karşılaşıldığında (Örneğin; TcpMaxHalfOpenRetried) SYN
tekrarını ve yönlendirme bellek değerinin bekleme süresini limitler.

Eğer “SynAttackProtect” değeri “2″ olursa, sonuç 1 verildiğindekine
benzer olacaktır fakat SYN işlemindeki 3-yollu el sıkışma bitene kadar
bekleyen bir geciktirilmiş Winsock notification içerir.
Çünku Windows
“SynAttackProtect” değerini, “TcpMaxHalfOpen” ve
“TcpMaxHalfOpenRetried” da tanımlanan değerlere ulaştığında çağırıp
kullanacaktır. Size tavsiyemiz bu iki değeride aynı registry konumunda
(HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Param eters) oluşturmanız
ve değerlerini aşağıdaki gibi girmenizdir.
TcpMaxHalfOpen=100
TcpMaxHalfOpenRetried=80

Erdoğan bey eğer atak yapan kişi işi biliyor ise zaten çok fazla ve farklı ip lerden geleceği için her şekilde kaynaklarınız tükenecektir.

Belki bu port için ipsec kullanabilirsiniz yazılımsal olması açısından veya yazılımsal bir AV kullanabilirsiniz içerisinde network koruması olan ama çözüm Firewall olacaktır.

Anladım bilgilendirme için teşekkürler.

Rica deriz, son olarak eğer saldırgan size kafayı takmadı ise port değiştirmek ise yarayabilir