Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
SYN flood attack
06-04-2010, 08:20 door pErSoNaLiTy, 17 reacties
Sinds 2003 huur ik een chatroom op www.camfrog.com via een server host.
Vroeger hadden we geen problemen erbij.
Nu anno 2010 krijgen we dagelijks te maken met syn flood aanvallen op de server.
Stellen we een firewall in word het meerendeel wel geblockt maar dan kunnen de mensen ook de chatrooms niet meer ingeraken.
server is windows 2003 en 2008.
Vraag is nu of er nog iemand andere beveiliging weet om aanvallen af te slaan.
De enige firewall die zou helpen zou fortguard zijn maar deze kost 2500 euro.
Ik betaal per maand maar 25 euro aan de room dus vind ik beetje veel te veel :(
Vroeger hadden we geen problemen erbij.
Nu anno 2010 krijgen we dagelijks te maken met syn flood aanvallen op de server.
Stellen we een firewall in word het meerendeel wel geblockt maar dan kunnen de mensen ook de chatrooms niet meer ingeraken.
server is windows 2003 en 2008.
Vraag is nu of er nog iemand andere beveiliging weet om aanvallen af te slaan.
De enige firewall die zou helpen zou fortguard zijn maar deze kost 2500 euro.
Ik betaal per maand maar 25 euro aan de room dus vind ik beetje veel te veel :(
Reacties (17)
wie is de beheerder van die server?
als je alleen een room huurt, huur je uptime. claim die bij de verhuurder.
als je een hele server huurt, is 25,- per maand peanuts, dus niet klagen als je monkey service krijgt.
als je in staat bent een firewall in te stellen, laat dit dan eens doen door iemand die ervaring met synfloods heeft...
de verhuurder wellicht?
als je alleen een room huurt, huur je uptime. claim die bij de verhuurder.
als je een hele server huurt, is 25,- per maand peanuts, dus niet klagen als je monkey service krijgt.
als je in staat bent een firewall in te stellen, laat dit dan eens doen door iemand die ervaring met synfloods heeft...
de verhuurder wellicht?
probeer eens een packetfilter en filter de syn floods van de aanvaller uit. Als je server in een rack in een datacenter staat dan heeft de verhuurder er mogelijk ook last van of kun je terugzoeken waar de pakketten vandaan komen en die uit laten filteren op de eerste router waar die binnen komt. Niks geen dure oplossing maar simpelweg samenwerken want iedereen in het datacenter heeft hier baat bij.
"windows..."
Tja, en indien het OS linux was geweest, dan waren SYN floods nog evengoed mogelijk geweest. Bedankt voor je nutteloze bijdrage.
Tja, en indien het OS linux was geweest, dan waren SYN floods nog evengoed mogelijk geweest. Bedankt voor je nutteloze bijdrage.
NAT bied bescherming tegen SYN floods door heel korte time-outs voor half open sessies in te stellen.
er is geen oplossing voor SYN flood, het hoeft niet perse spoofed te zijn.. 16kb per pakket, als je verbinding wilt maken stuurt hij als eerst een SYN flag, daarna verbreek je de verbinding, en maak opnieuw een verbinding aan.. als dit om een hoog aantal gaat.. vergeet het :), je kunt hooguit de IP's bannen (mits ze niet spoofed zijn)
Op Linux zijn SYN floods inderdaad ook evengoed mogelijk, alleen heb je dan out of the box wel veel meer mogelijkheden om er iets tegen te doen.
http://www.gotroot.com/tiki-index.php?page=Linux%20Firewall%20rules
http://tomicki.net/syn.flooding.php
Een simpele regel als eerste van de chain is dan vaak al voldoende namelijk.
Het is zaak de syn flood te detecteren en te droppen voordat deze in je buffer zitten te wachten op een ack.
Hoe dit bij een windows server gerealiseerd kan worden heb ik geen idee van, maar dat er iets voor gekocht moet worden dat vrij veel geld kost, sta ik niet van te kijken.
Toch denk ik dat wanneer je een firewall zou installeren en een dergelijke regel zou toepassen met een limit waardoor je service wel gewoon blijft werken, maar de packet floods je buffer niet kunnen vullen, je probleem minder groot zal zijn.
De grote vraag blijft altijd bij dit soort zaken, wie is er kwaad op je, waarom neemt iemand de moeite jou een probleem te bezorgen?
http://www.gotroot.com/tiki-index.php?page=Linux%20Firewall%20rules
http://tomicki.net/syn.flooding.php
Een simpele regel als eerste van de chain is dan vaak al voldoende namelijk.
-A FWALL-INPUT –p tcp --syn -m limit --limit 5/second -j ACCEPT
Het is zaak de syn flood te detecteren en te droppen voordat deze in je buffer zitten te wachten op een ack.
Hoe dit bij een windows server gerealiseerd kan worden heb ik geen idee van, maar dat er iets voor gekocht moet worden dat vrij veel geld kost, sta ik niet van te kijken.
Toch denk ik dat wanneer je een firewall zou installeren en een dergelijke regel zou toepassen met een limit waardoor je service wel gewoon blijft werken, maar de packet floods je buffer niet kunnen vullen, je probleem minder groot zal zijn.
De grote vraag blijft altijd bij dit soort zaken, wie is er kwaad op je, waarom neemt iemand de moeite jou een probleem te bezorgen?
06-04-2010, 21:07 door
[Account Verwijderd]
[Verwijderd]
Een gewone synflood (alleen valse syn's, geen excessieve load in #packets/sec) is met syncookies prima tegen te gaan.
Het geeft wat beperkingen, dus je wilt het alleen gebruiken als je echt last hebt van een synflood.
De syncookie feature zit (oa) in de Linux kernel, sinds 1996 .
Een aanvaller kan meer soorten DoS'en doen dan synfloods, maar een synflood voor een behoorlijk OS gewoon een opgelost probleem.
Dus anoniem @12:41 had inderdaad gelijk, een gewone synflood is met Linux inderdaad prima op te vangen.
Zolang het totale verkeersvolume van de flood overigens beperkt blijft is de enige die er last van kan hebben de slachtoffer host. Een hoster (zeker een low budget hoster) gaat echt niet heel hard hollen voor een "mijn server is onbereikbaar vanwege 25 kbit pakketjes" probleem van een 25-euro klant.
Als die 25 eurp/m serverhuur is, kan de OP misschien het beste een linux server erbij huren, en die als firewall (of reverse proxy) voor z'n server inzetten, en op de linux bak behoorlijk firewallen en synfloods afhandelen.
Het geeft wat beperkingen, dus je wilt het alleen gebruiken als je echt last hebt van een synflood.
De syncookie feature zit (oa) in de Linux kernel, sinds 1996 .
Een aanvaller kan meer soorten DoS'en doen dan synfloods, maar een synflood voor een behoorlijk OS gewoon een opgelost probleem.
Dus anoniem @12:41 had inderdaad gelijk, een gewone synflood is met Linux inderdaad prima op te vangen.
Zolang het totale verkeersvolume van de flood overigens beperkt blijft is de enige die er last van kan hebben de slachtoffer host. Een hoster (zeker een low budget hoster) gaat echt niet heel hard hollen voor een "mijn server is onbereikbaar vanwege 25 kbit pakketjes" probleem van een 25-euro klant.
Als die 25 eurp/m serverhuur is, kan de OP misschien het beste een linux server erbij huren, en die als firewall (of reverse proxy) voor z'n server inzetten, en op de linux bak behoorlijk firewallen en synfloods afhandelen.
@4 Ik ben het met je eens dat "windows" een redelijk nutteloze post is. Echter onder Linux is een syn attack redelijk eenvoudig tegen te gaan. Het commando "echo -n 1 > /proc/sys/net/ipv4/tcp_syncookies" en de aanval is geneutraliseerd. Die mogelijkheid zit er al in sinds 1997. Jouw post is dus niet zo zeer nutteloos als wel incorrect.
07-04-2010, 10:56 door
pErSoNaLiTy
De grote vraag blijft altijd bij dit soort zaken, wie is er kwaad op je, waarom neemt iemand de moeite jou een probleem te bezorgen?
Ze schieten niet alleen op ons.
Ze pakken heel de toplist aan.
Dus persoonlijk is het zeker niet.
Vervelend des te meer.
Heb je hier nu ondertussen al iets aan gehad? Al iets gevonden om deze oplossingen naar windows te vertalen?
Of het nou windows is of linux, wat je er tegen kan doen is dus rate limiting.
Zodra de server moet reageren met syncookies of met w/e verstookt de server CPU cycles en dat wil je niet.
Het beste is een hardware matige firewall, maar op de L3 switch ervoor kun je ook makkelijk rate limiting instellen. Wellicht kun je dat eens vragen aan je hoster.
Zodra de server moet reageren met syncookies of met w/e verstookt de server CPU cycles en dat wil je niet.
Het beste is een hardware matige firewall, maar op de L3 switch ervoor kun je ook makkelijk rate limiting instellen. Wellicht kun je dat eens vragen aan je hoster.
Geleuter, je begrijpt het verschil tussen rate limiting en syncookies niet. Noch een synflood, als je denk dat rate limiting helpt om je server bereikbaar te houden.
Syncookies zijn bijzonder licht op de CPU, en konden al in 1996 op wirespeed (100Mbit) werken.
Rate limiting zonder herkenning van valse syns is al helemaal zinloos, je rate-limit de echte syns even hard als de valse, en de valse zijn in de overgrote meerderheid. Nog steeds geen service dus voor je valide bezoekers want die hebben weinig kans om door de rate limiter te komen.
"hardware matige firewall" is meestal marketing speak voor een gewone CPU met OS, management frontend in een kastje, en functie van firewall. Zelfs als er echt wat asics bij zitten is dat meestal alleen voor packetfiltering en worden meer intelligente taken door de CPU gedaan.
Syncookies zijn bijzonder licht op de CPU, en konden al in 1996 op wirespeed (100Mbit) werken.
Rate limiting zonder herkenning van valse syns is al helemaal zinloos, je rate-limit de echte syns even hard als de valse, en de valse zijn in de overgrote meerderheid. Nog steeds geen service dus voor je valide bezoekers want die hebben weinig kans om door de rate limiter te komen.
"hardware matige firewall" is meestal marketing speak voor een gewone CPU met OS, management frontend in een kastje, en functie van firewall. Zelfs als er echt wat asics bij zitten is dat meestal alleen voor packetfiltering en worden meer intelligente taken door de CPU gedaan.
Firewall of IPS systemen filteren dit met gemak voor je, maar goed, ook voor Windows zijn er wel settings te vinden om je TCP/IP stack te hardenen.
http://www.microsoft.com/downloads/details.aspx?FamilyID=12ac9780-17b5-480c-aef7-5c0bde9060b0&displaylang=en
http://www.microsoft.com/downloads/details.aspx?FamilyID=12ac9780-17b5-480c-aef7-5c0bde9060b0&displaylang=en
"Op Linux zijn SYN floods inderdaad ook evengoed mogelijk, alleen heb je dan out of the box wel veel meer mogelijkheden om er iets tegen te doen."
Daar heb je verder natuurlijk volstrekt gelijk in. Ik wordt alleen allergisch van de mensen hier die pretenderen dat alle beveiligingsproblemen de wereld uit zijn zolang je maar linux gebruikt, zonder in te gaan op de verdere configuratie. Immers is security geen produkt wat je krijgt meegeleverd, maar een proces wat afhankelijk is van de maatregelen die je neemt, ongeacht het gebruikte OS.
Daar heb je verder natuurlijk volstrekt gelijk in. Ik wordt alleen allergisch van de mensen hier die pretenderen dat alle beveiligingsproblemen de wereld uit zijn zolang je maar linux gebruikt, zonder in te gaan op de verdere configuratie. Immers is security geen produkt wat je krijgt meegeleverd, maar een proces wat afhankelijk is van de maatregelen die je neemt, ongeacht het gebruikte OS.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.