SYN attack defence

Güvenlik Genel

Son Cevaplar gön: Seyit ÖZGÜR 12 yıl önce

5 Yazılar

4 Üyeler

0 Likes

476 Görüntüleme

RSS

Kayhan KAYIHAN

(@kayhankayihan)

Gönderiler: 854

Noble Member

Konu başlatıcı

Merhaba arkadaşlar,

Saniyede 1.5 milyon SYN atak paketi alan bir yapıyı nasıl korurdunuz, fikirlerinizi bekliyorum.

Kolay gelsin.

Gönderildi : 23/06/2012 20:50

Mustafa KASIKCI

(@mustafakasikci)

Gönderiler: 811

Noble Member

Aynı IP den gelen connection sayısını Max 2 veya 3 yapın büyük ölçüde çözülecektir.

Gönderildi : 24/06/2012 00:34

Afşin Taşkıran

(@AfsinTaskiran)

Gönderiler: 45

Eminent Member

Network katmaninda gelen, ayni profildeki SYN flood ise rate limit yapan cihazlarla bu saldiriya karsi koyabilirsiniz. Ancak application katmaninda, farkli agent lerdan, farkli browser lardan hele ki botnet lerden gelen yuksek capta "gercek" isteklerse daha yetenekli sistemlere bakmaniz gerekiyor.

http://www.checkpoint.com/products/ddos-protector/index.html

Gönderildi : 24/06/2012 00:52

Kayhan KAYIHAN

(@kayhankayihan)

Gönderiler: 854

Noble Member

Konu başlatıcı

Araştırmalarımın sonucunu sizlerle paylaşmak istedim, benden sonra gelecek olan arkadaşlarada fayda sağlaması düşüncesi ile.

Normal
0

false
false
false

TR
X-NONE
X-NONE

MicrosoftInternetExplorer4

/* Style Definitions */
table.MsoNormalTable
{mso-style-name:"Normal Tablo";
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-priority:99;
mso-style-parent:"";
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin:0cm;
mso-para-margin-bottom:.0001pt;
mso-pagination:widow-orphan;
font-size:10.0pt;
font-family:"Times New Roman","serif";}

Gelen saldırı hat kapasitemizden
büyük ise hat sağlayıcınız dan destek almak zorundayız aksi taktirde bizim
yapabileceğimiz bir şey yok.

Saldırı gerçek ip lernden
geliyor ise, gelen ip leri tespit ederek o ip ler bloklanabilir.(Çok ciddi bir
botnet agı olmaması durumunda),

Bir ip den gelecek saniyedeki
paket sayısını limitleyerek ilgili problem çözülebilir gibi görünüyor.

bu şekilde sisteme gelen
saldırıyı ciddi oranda kesebilriiz. Ek olarak gerçek ip lerden gelen
saldırılarda ip adresleri belli bir lokasyona ait ise (TR, US, UK v.s.)
lokasyon bazlı ip filitreleme yapılabilir gibi görünüyor.

IP adresleri sahte ise Syn
cookie, syn cache, syn proxy, syn rate limit özelliği olan bir cihaz ile bu
saldırı engellenebilir gibi görünüyor, (Cihazın ram ve cpu kaynağı hayati önem
kazanıyor.)

Gelen saldırının hedef port,
kaynak portu gibi bilgileri tespit edilerek statik değerler ise hedef ve kaynak
port kapatılabilir.(Her zaman mümkün olmayabilir.) Hedef ve kaynak porta göre filitreleme yapılabilir.

Gönderildi : 28/06/2012 16:32

Seyit ÖZGÜR

(@seyitozgur)

Gönderiler: 219

Estimable Member

1.500.000 syn packet/sec bir değerden bahsediyorsun.. İlk önce bunu karşılayacak sistem işini çözmen lazım.. Bu paket sayısını process edebilecek network kartı, cpu, uygulamayı yapılandırdıktan sonra Rate limiting veya IP blok gibi işlemleri yapabilirsin..

Piyasada 1.500.000 syn paketine (açık porttan) stabil dönecek ürün seviyesinin az olduğunu düşünüyorum..

Gönderildi : 28/06/2012 17:54