Forum

Juniper SSG sanırım...
 
Bildirimler
Hepsini Temizle

Juniper SSG sanırım syn atağı engellemiyor !!

3 Yazılar
2 Üyeler
0 Likes
355 Görüntüleme
(@cahiteyigunlu)
Gönderiler: 2
New Member
Konu başlatıcı
 

İyi günler juniper konusunda çok yeniyim maalesef ve konuyu bir türlü çözemedim .

Şu anda global ip adresim : 188.41.243.118

Veri merkezinde juniperin arkasında yer alan bir sunucuya proxy kullanmadan direk atak yapıyorum. ve juniperin syn değerlerini en alta cektim :

 [URL= http://img52.imageshack.us/img52/2647/junp.pn g" target="_blank">http://img52.imageshack.us/img52/2647/junp.pn g"/> [/IMG][/URL]

ve jun. aşağıdaki şekilde log yakaladı :

 

2011-10-26 22:35:41   emer   SYN flood! From 188.41.243.118:37998 to xxxxxx.4:3306, proto TCP (zone V1-Untrust, int v1-untrust). Occurred 1 times.
2011-10-26 22:35:41   emer   SYN flood! From 188.41.243.118:37997 to xxxxxxx.4:3306, proto TCP (zone V1-Untrust, int v1-untrust). Occurred 1 times.
2011-10-26 22:35:41   emer   SYN flood! From 188.41.243.118:37996 to xxxxx.4:3306, proto TCP (zone V1-Untrust, int v1-untrust). Occurred 1 times.
2011-10-26 22:35:41   emer   SYN flood! From 188.41.243.118:37995 to xxxxxx.4:3306, proto TCP (zone V1-Untrust, int v1-untrust). Occurred 1 times.
2011-10-26 22:35:41   emer   SYN flood! From 188.41.243.118:37994 to xxxxxx.4:3306, proto TCP (zone V1-Untrust, int v1-untrust). Occurred 1 times.
2011-10-26 22:35:41   emer   SYN flood! From 188.41.243.118:37993 to xxxxxx.4:3306, proto TCP (zone V1-Untrust, int v1-untrust). Occurred 1 times.

2011-10-26 22:35:41   emer   SYN flood! From 188.41.243.118:37780 to xxxxxxx.4:3306, proto TCP (zone V1-Untrust, int v1-untrust). Occurred 1 times.

 

network topologym kısaca şu şekilde

 

v1-untrust : Global network

v1-turst : iç network

policy olarak iç ve dış network arasında tüm kural any to any permit.

 

bu koşullar altında jun. log tutmaya devam ederken ben hala daha atak yaptığım siteye bağlantımı korudum ve aynı trust network içerisinde remote desktop ve diğer servisleri kullandım.(ben untrust tarafındayım.)

 

neden böyle bir durum oluşmuş olabilir ? 

 
Gönderildi : 27/10/2011 14:53

(@seyitozgur)
Gönderiler: 219
Estimable Member
 

Sen syn atak yaparken siteye HTTP GET olarak geliyorsun, sadece SYN atağını kestiğinden siteye bağlanman normal.

Fakat Screening kısmında Source IP base limit koyarsan, fazla bağlantı açtığından dolayı HTTP GET olarakda gidemeyeceksin..

 
Gönderildi : 28/10/2011 12:44

(@cahiteyigunlu)
Gönderiler: 2
New Member
Konu başlatıcı
 

Peki buna ne dersiniz tek bir makinanın atağı ile saniyede 100 lerce kez juniper syn logu tutarken hala daha istekler makinaya ulasıo.

bu şekilde 2 kişi istek açsa bu makina down olur 🙂

 

[URL= http://img265.imageshack.us/img265/1536/juniattack.pn g" target="_blank">http://img265.imageshack.us/img265/1536/juniattack.pn g"/> [/IMG][/URL]

 

ekranda benim ip adresim flood programım ve sağdaki remote desktop atak yaptıgım makina ortada da syn logları mevcut juniperin

 

 

 
Gönderildi : 28/10/2011 21:29

Paylaş: