Computerbeveiliging - Hoe je bad guys buiten de deur houdt

SYN flood attack

06-04-2010, 08:20 door pErSoNaLiTy, 17 reacties
Sinds 2003 huur ik een chatroom op www.camfrog.com via een server host.
Vroeger hadden we geen problemen erbij.

Nu anno 2010 krijgen we dagelijks te maken met syn flood aanvallen op de server.
Stellen we een firewall in word het meerendeel wel geblockt maar dan kunnen de mensen ook de chatrooms niet meer ingeraken.

server is windows 2003 en 2008.
Vraag is nu of er nog iemand andere beveiliging weet om aanvallen af te slaan.
De enige firewall die zou helpen zou fortguard zijn maar deze kost 2500 euro.
Ik betaal per maand maar 25 euro aan de room dus vind ik beetje veel te veel :(
Reacties (17)
06-04-2010, 08:48 door Anoniem
wie is de beheerder van die server?
als je alleen een room huurt, huur je uptime. claim die bij de verhuurder.

als je een hele server huurt, is 25,- per maand peanuts, dus niet klagen als je monkey service krijgt.

als je in staat bent een firewall in te stellen, laat dit dan eens doen door iemand die ervaring met synfloods heeft...
de verhuurder wellicht?
06-04-2010, 10:22 door Anoniem
probeer eens een packetfilter en filter de syn floods van de aanvaller uit. Als je server in een rack in een datacenter staat dan heeft de verhuurder er mogelijk ook last van of kun je terugzoeken waar de pakketten vandaan komen en die uit laten filteren op de eerste router waar die binnen komt. Niks geen dure oplossing maar simpelweg samenwerken want iedereen in het datacenter heeft hier baat bij.
06-04-2010, 12:41 door Anoniem
windows...
06-04-2010, 14:06 door Anoniem
"windows..."

Tja, en indien het OS linux was geweest, dan waren SYN floods nog evengoed mogelijk geweest. Bedankt voor je nutteloze bijdrage.
06-04-2010, 15:55 door Anoniem
NAT bied bescherming tegen SYN floods door heel korte time-outs voor half open sessies in te stellen.
06-04-2010, 18:32 door Anoniem
Zyxel firewall gebruiken :D
06-04-2010, 18:48 door Anoniem
er is geen oplossing voor SYN flood, het hoeft niet perse spoofed te zijn.. 16kb per pakket, als je verbinding wilt maken stuurt hij als eerst een SYN flag, daarna verbreek je de verbinding, en maak opnieuw een verbinding aan.. als dit om een hoog aantal gaat.. vergeet het :), je kunt hooguit de IP's bannen (mits ze niet spoofed zijn)
06-04-2010, 19:50 door Anoniem
Op Linux zijn SYN floods inderdaad ook evengoed mogelijk, alleen heb je dan out of the box wel veel meer mogelijkheden om er iets tegen te doen.

http://www.gotroot.com/tiki-index.php?page=Linux%20Firewall%20rules
http://tomicki.net/syn.flooding.php

Een simpele regel als eerste van de chain is dan vaak al voldoende namelijk.

-A FWALL-INPUT –p tcp --syn -m limit --limit 5/second -j ACCEPT

Het is zaak de syn flood te detecteren en te droppen voordat deze in je buffer zitten te wachten op een ack.
Hoe dit bij een windows server gerealiseerd kan worden heb ik geen idee van, maar dat er iets voor gekocht moet worden dat vrij veel geld kost, sta ik niet van te kijken.

Toch denk ik dat wanneer je een firewall zou installeren en een dergelijke regel zou toepassen met een limit waardoor je service wel gewoon blijft werken, maar de packet floods je buffer niet kunnen vullen, je probleem minder groot zal zijn.

De grote vraag blijft altijd bij dit soort zaken, wie is er kwaad op je, waarom neemt iemand de moeite jou een probleem te bezorgen?
06-04-2010, 21:07 door [Account Verwijderd]
[Verwijderd]
06-04-2010, 22:44 door Anoniem
Een gewone synflood (alleen valse syn's, geen excessieve load in #packets/sec) is met syncookies prima tegen te gaan.
Het geeft wat beperkingen, dus je wilt het alleen gebruiken als je echt last hebt van een synflood.
De syncookie feature zit (oa) in de Linux kernel, sinds 1996 .

Een aanvaller kan meer soorten DoS'en doen dan synfloods, maar een synflood voor een behoorlijk OS gewoon een opgelost probleem.

Dus anoniem @12:41 had inderdaad gelijk, een gewone synflood is met Linux inderdaad prima op te vangen.

Zolang het totale verkeersvolume van de flood overigens beperkt blijft is de enige die er last van kan hebben de slachtoffer host. Een hoster (zeker een low budget hoster) gaat echt niet heel hard hollen voor een "mijn server is onbereikbaar vanwege 25 kbit pakketjes" probleem van een 25-euro klant.
Als die 25 eurp/m serverhuur is, kan de OP misschien het beste een linux server erbij huren, en die als firewall (of reverse proxy) voor z'n server inzetten, en op de linux bak behoorlijk firewallen en synfloods afhandelen.
07-04-2010, 07:48 door Anoniem
@4 Ik ben het met je eens dat "windows" een redelijk nutteloze post is. Echter onder Linux is een syn attack redelijk eenvoudig tegen te gaan. Het commando "echo -n 1 > /proc/sys/net/ipv4/tcp_syncookies" en de aanval is geneutraliseerd. Die mogelijkheid zit er al in sinds 1997. Jouw post is dus niet zo zeer nutteloos als wel incorrect.
07-04-2010, 10:56 door pErSoNaLiTy

De grote vraag blijft altijd bij dit soort zaken, wie is er kwaad op je, waarom neemt iemand de moeite jou een probleem te bezorgen?


Ze schieten niet alleen op ons.
Ze pakken heel de toplist aan.
Dus persoonlijk is het zeker niet.
Vervelend des te meer.
07-04-2010, 19:21 door Anoniem
Heb je hier nu ondertussen al iets aan gehad? Al iets gevonden om deze oplossingen naar windows te vertalen?
08-04-2010, 08:31 door Anoniem
Of het nou windows is of linux, wat je er tegen kan doen is dus rate limiting.
Zodra de server moet reageren met syncookies of met w/e verstookt de server CPU cycles en dat wil je niet.
Het beste is een hardware matige firewall, maar op de L3 switch ervoor kun je ook makkelijk rate limiting instellen. Wellicht kun je dat eens vragen aan je hoster.
08-04-2010, 10:14 door Anoniem
Geleuter, je begrijpt het verschil tussen rate limiting en syncookies niet. Noch een synflood, als je denk dat rate limiting helpt om je server bereikbaar te houden.
Syncookies zijn bijzonder licht op de CPU, en konden al in 1996 op wirespeed (100Mbit) werken.

Rate limiting zonder herkenning van valse syns is al helemaal zinloos, je rate-limit de echte syns even hard als de valse, en de valse zijn in de overgrote meerderheid. Nog steeds geen service dus voor je valide bezoekers want die hebben weinig kans om door de rate limiter te komen.

"hardware matige firewall" is meestal marketing speak voor een gewone CPU met OS, management frontend in een kastje, en functie van firewall. Zelfs als er echt wat asics bij zitten is dat meestal alleen voor packetfiltering en worden meer intelligente taken door de CPU gedaan.
12-04-2010, 11:20 door Anoniem
Firewall of IPS systemen filteren dit met gemak voor je, maar goed, ook voor Windows zijn er wel settings te vinden om je TCP/IP stack te hardenen.

http://www.microsoft.com/downloads/details.aspx?FamilyID=12ac9780-17b5-480c-aef7-5c0bde9060b0&displaylang=en
12-04-2010, 12:03 door Anoniem
"Op Linux zijn SYN floods inderdaad ook evengoed mogelijk, alleen heb je dan out of the box wel veel meer mogelijkheden om er iets tegen te doen."

Daar heb je verder natuurlijk volstrekt gelijk in. Ik wordt alleen allergisch van de mensen hier die pretenderen dat alle beveiligingsproblemen de wereld uit zijn zolang je maar linux gebruikt, zonder in te gaan op de verdere configuratie. Immers is security geen produkt wat je krijgt meegeleverd, maar een proces wat afhankelijk is van de maatregelen die je neemt, ongeacht het gebruikte OS.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.