Scusa il ritardo della risposta, sono stato via. Per quello che ho visto e capito, per inziare una connessione il client manda il comando di Sync e il serve gli risponde con OK o KO a seconda di come è configurata la porta richiesta. Se è aperta risponde OK, altrimenti ovviamente risponde KO. Se il rpimo scambio è OK il client manda un secondo pacchetto in cui dice che cosa vuole (connect). Se però a questo punto manda un comando di reset il server viene informato che quella richiesta di connessione non va più portata a vanti e chiude. Ovviamente la rischiesta di Sync contiene sia il source che il destination address, così come la risposta ed anche il pacchetto successivo. Il problema è che tutti i server di solito sono configurati per loggare informazioni solo su sessioni create. Quasi nessun applicativo lato server logga il fatto che c'è stato un Sync a cui è seguito un reset. Questa attività viene loggata di solito dalle IDS (Intrusion Detection System) che hanno il brutto vizio di costare un patrimonio e quindi sono poco usate. Quello che succede è che il server riceve tonnellate di richieste Sync a cui risponde OK e alloca le risorse per accettare la successiva richiesta di connessione, ma poi riceve il reset e deve rilasciare le risorse. Nel DDos se l'attacker usa questo metodo da centinaia o migliaia di PC il server passa il suo tempo a creare e distruggere risorse e non ha più tempo di servire le sessioni attive. Inoltre se a livello di server limito il numero di sync accettati ottengo esattamente ciò che l'attacker vuole, cioè rendere indisponibile il sito ai visitatori. Al momento non esiste soluzione per tamponare i DoS e/o DDoS, se non quello di avere degli IDS che appena si accorgono della cosa rifiutano lato router le richieste di Sync da certe reti. La situazione di MS la settimana scorsa credo dimostri bene che c'è poco da fare (credo che di IDS ne abbiano a iosa loro che possono). Andrea Gelpi > -----Original Message----- > From: linuxtrent-bounce@xxxxxxxxxxxxxxxxx > [mailto:linuxtrent-bounce@xxxxxxxxxxxxxxxxx]On Behalf Of Filippo Dal > Bosco > Sent: mercoledì 31 gennaio 2001 19.44 > To: Gelpi Andrea > Subject: Linuxtrent: Re: Bellissimo!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! > > > > Hello Gelpi. > > 31 Jan 01 12:17, you wrote to linuxtrent@xxxxxxxxxxxxxxxxx: > > GA> sync/reset. Se migliaia di PC lanciano la richiesta di connessione > GA> (sync) e quando ottengono risposta lanciano il reset e a > farlo sono in > in parole povere chiedono la connessione ed aappena ricevono l' ok dal > server non fanno nulla ? non rispondono ? > Allora la richiesta di connessione non prevede l' invio del proprio > indirizzo ip (visto che dici che il sysadm del server potrebbe > non capire l' > intasamento)? non capisco. A chi risponde il server se non sa chi > ha chiesto > di connettere? MA se lo sa il sysadm dovrebbe capire quello che sta > succedendo... > > Filippo > > > -- > Per iscriversi (o disiscriversi), basta spedire un messaggio > con SOGGETTO > "subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxxxxxx -- Per iscriversi (o disiscriversi), basta spedire un messaggio con SOGGETTO "subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxxxxxx