Forum

Windows 2003 Server...
 
Bildirimler
Hepsini Temizle

Windows 2003 Server SYN Saldırı Engelleme

6 Yazılar
2 Üyeler
0 Likes
485 Görüntüleme
(@ErdoganPALA)
Gönderiler: 158
Estimable Member
Konu başlatıcı
 

 Merhaba Windows 2003 Server Ent. sürümü kullanmaktayız. Sunucumuza aşağıdaki gibi SYN saldırı yapılıyor bunu nasıl engelleyebiliriz?

 TCP    192.168.2.38:4381      89.202.157.196:80      SYN_SENT
 TCP    192.168.2.38:35578     4.228.234.21:3982      SYN_RECEIVED
 TCP    192.168.2.38:35578     14.120.28.49:25167     SYN_RECEIVED
 TCP    192.168.2.38:35578     16.40.129.93:60075     SYN_RECEIVED
 TCP    192.168.2.38:35578     16.149.26.91:37354     SYN_RECEIVED
 TCP    192.168.2.38:35578     22.93.21.63:31280      SYN_RECEIVED
 TCP    192.168.2.38:35578     27.70.38.103:43507     SYN_RECEIVED
 TCP    192.168.2.38:35578     29.237.85.95:42712     SYN_RECEIVED
 TCP    192.168.2.38:35578     33.221.7.3:30338       SYN_RECEIVED
 TCP    192.168.2.38:35578     38.251.176.3:59193     SYN_RECEIVED
 TCP    192.168.2.38:35578     42.126.254.119:25461   SYN_RECEIVED
 TCP    192.168.2.38:35578     48.245.50.87:27565     SYN_RECEIVED
 TCP    192.168.2.38:35578     50.238.213.2:27516     SYN_RECEIVED
 TCP    192.168.2.38:35578     62.33.55.110:12723     SYN_RECEIVED
 TCP    192.168.2.38:35578     63.153.153.84:4551     SYN_RECEIVED
 TCP    192.168.2.38:35578     66.87.65.99:38613      SYN_RECEIVED
 TCP    192.168.2.38:35578     69.245.240.124:43386   SYN_RECEIVED
 TCP    192.168.2.38:35578     73.138.101.43:30570    SYN_RECEIVED
 TCP    192.168.2.38:35578     82.115.199.126:35229   SYN_RECEIVED
 TCP    192.168.2.38:35578     83.48.237.15:24186     SYN_RECEIVED

 
Gönderildi : 18/02/2012 01:32

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 32965
Illustrious Member Yönetici
 

Merhaba

Firewall üzerinden bunu kesebilirsiniz ancak windows seviyesinde çok zor.

 

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 18/02/2012 01:35

(@ErdoganPALA)
Gönderiler: 158
Estimable Member
Konu başlatıcı
 

Merhaba Hakan Bey, Yazılımsal bir çözüm yolu bulamazmıyız nette araştırma yaparken şöyle bir döküman buldum sizce faydası olurmu.

 

1-) Registry editörünüzü çalıştırın ve HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Param eters değerini bulun
2-) Edit menüsünden Yeni bir DWORD değeri oluşturmayı seçin ve
3-) Adını “SynAttackProtect” verin.
4-) Yarattığınız anahtarın üzerinde çift tıklayın ve değerini “2″ verin
5-) Registry editörünü kapatın ve makinanızı tekrar başlatın
Burada “SynAttackProtect” değişkeninin kabul edilen başlangıç değeri 0 (sıfır) dır. Ve koruma kapalıdır.
Verilecek “1″ değeri ise en yüksek TCP bağlantı değerine ulaşıldığında
(Örneğin; bağlantının SYN_RECEIVED durumu TcpMaxHalfOpen olarak bilinir)
ve tekrar ile karşılaşıldığında (Örneğin; TcpMaxHalfOpenRetried) SYN
tekrarını ve yönlendirme bellek değerinin bekleme süresini limitler.

Eğer “SynAttackProtect” değeri “2″ olursa, sonuç 1 verildiğindekine
benzer olacaktır fakat SYN işlemindeki 3-yollu el sıkışma bitene kadar
bekleyen bir geciktirilmiş Winsock notification içerir.
Çünku Windows
“SynAttackProtect” değerini, “TcpMaxHalfOpen” ve
“TcpMaxHalfOpenRetried” da tanımlanan değerlere ulaştığında çağırıp
kullanacaktır. Size tavsiyemiz bu iki değeride aynı registry konumunda
(HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Param eters) oluşturmanız
ve değerlerini aşağıdaki gibi girmenizdir.
TcpMaxHalfOpen=100
TcpMaxHalfOpenRetried=80

 

 
Gönderildi : 18/02/2012 01:49

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 32965
Illustrious Member Yönetici
 

Erdoğan bey eğer atak yapan kişi işi biliyor ise zaten çok fazla ve farklı ip lerden geleceği için her şekilde kaynaklarınız tükenecektir.

Belki bu port için ipsec kullanabilirsiniz yazılımsal olması açısından veya yazılımsal bir AV kullanabilirsiniz içerisinde network koruması olan ama çözüm Firewall olacaktır.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 18/02/2012 19:42

(@ErdoganPALA)
Gönderiler: 158
Estimable Member
Konu başlatıcı
 

Anladım bilgilendirme için teşekkürler.

 
Gönderildi : 18/02/2012 21:44

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 32965
Illustrious Member Yönetici
 

Rica deriz, son olarak eğer saldırgan size kafayı takmadı ise port değiştirmek ise yarayabilir

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 19/02/2012 01:12

Paylaş: