Re: Syn/Ack Flood?

Il mer, 2002-03-27 alle 19:44, Harada ha scritto:

> > Quindi il pacchetto giungerà al server che risponderà con un syn/ack
> > all'indirizzo mittente che quando riceverà tale pacchetto, se la porta su
> > cui lo riceve è aperta manderà un RST, altrimenti nulla. Ma se io mando un
> > sacco di syn al server, magari da + postazioni, questo manderà una marea di
> > syn/ack alla "vittima"? 

Mi sorgono una serie di dubbi:

1) In questo modo non ottieni alcun effetto di "amplificazione" (mentre
con lo "smurfing" mandavo 1 echo request e ne ottenevo n>1 echo reply);

2) Se tu hai 100 slave, ciascuno per esempio attaccato a una 2Mbit e
mandi una marea di SYN spoofati ad un server che ha anche lui 2Mbit
(fossero anche 34, cambia poco) di banda, ottieni solo di floddare il
server che invece volevi usare come "ripetitore", fra l'altro
"sacrificando" i 2000 Mbit complessivi (nominali, daccordo) prodotti
dagli slaves in cambio dei 2Mbit prodotti dal server.

Di fatto, perche' non floddare direttamente la vittima dai 100 slaves?

L'unico vantaggio nell'usare un "ripetitore" sarebbe l'"anonimato" degli
slaves... immaginiamo di avere a bordo degli slave un TFN o simile
modificato per mandare dei syn sulla porta 80 (ad es.) a indirizzi
pubblici casuali, spoofando il src addr in modo che le risposte (SYN/ACK
o SYN/RST) arrivino alla vittima... nessuna amplificazione, ma si
aggiunge uno "step" in piu' al processo, aumentando la difficolta' di
risalire all'origine dell'attacco (insomma la macchina master)
attraverso log e sniffer vari;

> > E filtrare i pacchetti con questo flag in ingresso
> > senza che ci sia nessuna connessione in stato SYN_SENT non risolverebeb
> > nulla no? 

Beh, un controllo del genere potrebbe essere implementato (insieme ad
altre verifiche di "integrita'" dei meccanismi e procedure dei vari
protocolli) in un sistema anti-spoofing... 

Kalugen.

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List