Linuxtrent: Re: Bellissimo!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
- From: "Gelpi Andrea" <ggelpi@xxxxxx>
- To: <linuxtrent@xxxxxxxxxxxxxxxxx>
- Date: Mon, 5 Feb 2001 13:56:25 +0100
Scusa il ritardo della risposta, sono stato via.
Per quello che ho visto e capito, per inziare una connessione il client
manda il comando di Sync e il serve gli risponde con OK o KO a seconda di
come è configurata la porta richiesta. Se è aperta risponde OK, altrimenti
ovviamente risponde KO.
Se il rpimo scambio è OK il client manda un secondo pacchetto in cui dice
che cosa vuole (connect). Se però a questo punto manda un comando di reset
il server viene informato che quella richiesta di connessione non va più
portata a vanti e chiude.
Ovviamente la rischiesta di Sync contiene sia il source che il destination
address, così come la risposta ed anche il pacchetto successivo.
Il problema è che tutti i server di solito sono configurati per loggare
informazioni solo su sessioni create.
Quasi nessun applicativo lato server logga il fatto che c'è stato un Sync a
cui è seguito un reset.
Questa attività viene loggata di solito dalle IDS (Intrusion Detection
System) che hanno il brutto vizio di costare un patrimonio e quindi sono
poco usate.
Quello che succede è che il server riceve tonnellate di richieste Sync a cui
risponde OK e alloca le risorse per accettare la successiva richiesta di
connessione, ma poi riceve il reset e deve rilasciare le risorse.
Nel DDos se l'attacker usa questo metodo da centinaia o migliaia di PC il
server passa il suo tempo a creare e distruggere risorse e non ha più tempo
di servire le sessioni attive.
Inoltre se a livello di server limito il numero di sync accettati ottengo
esattamente ciò che l'attacker vuole, cioè rendere indisponibile il sito ai
visitatori.
Al momento non esiste soluzione per tamponare i DoS e/o DDoS, se non quello
di avere degli IDS che appena si accorgono della cosa rifiutano lato router
le richieste di Sync da certe reti.
La situazione di MS la settimana scorsa credo dimostri bene che c'è poco da
fare (credo che di IDS ne abbiano a iosa loro che possono).
Andrea Gelpi
> -----Original Message-----
> From: linuxtrent-bounce@xxxxxxxxxxxxxxxxx
> [mailto:linuxtrent-bounce@xxxxxxxxxxxxxxxxx]On Behalf Of Filippo Dal
> Bosco
> Sent: mercoledì 31 gennaio 2001 19.44
> To: Gelpi Andrea
> Subject: Linuxtrent: Re: Bellissimo!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
>
>
>
> Hello Gelpi.
>
> 31 Jan 01 12:17, you wrote to linuxtrent@xxxxxxxxxxxxxxxxx:
>
> GA> sync/reset. Se migliaia di PC lanciano la richiesta di connessione
> GA> (sync) e quando ottengono risposta lanciano il reset e a
> farlo sono in
> in parole povere chiedono la connessione ed aappena ricevono l' ok dal
> server non fanno nulla ? non rispondono ?
> Allora la richiesta di connessione non prevede l' invio del proprio
> indirizzo ip (visto che dici che il sysadm del server potrebbe
> non capire l'
> intasamento)? non capisco. A chi risponde il server se non sa chi
> ha chiesto
> di connettere? MA se lo sa il sysadm dovrebbe capire quello che sta
> succedendo...
>
> Filippo
>
>
> --
> Per iscriversi (o disiscriversi), basta spedire un messaggio
> con SOGGETTO
> "subscribe" (o "unsubscribe") a
mailto:linuxtrent-request@xxxxxxxxxxxxxxxxx
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con SOGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxxxxxx
Other related posts: