[GTER] RES: ataque SYN-Flood

Leandro Lima leandro.lima at briskcom.com.br
Thu Aug 23 09:05:18 -03 2012


Prezados,


	Podemos habilitar o SYN-Cookies em sistemas operacionais Microsoft, manipulando algumas chaves no registro, no caminho HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters, o processo  é feito por intermédio da comparação do estado das conexões TCP com os valores contidos nas chaves TcpMaxPortsExhausted , TcpMaxHalfOpen e TcpMaxHalfOpenRetried . 
	A Symantec possui um artigo explicando o processo, e deve ser aplicável no seu caso se estivermos nos referindo a sistemas Microsoft. Aconselho que verifique o link abaixo:


http://www.symantec.com/connect/articles/hardening-tcpip-stack-syn-attacks


Atenciosamente.

Leandro Lima
Supervisor Técnico em Telecomunicações. 




-----Mensagem original-----
De: gter [mailto:gter-bounces at eng.registro.br] Em nome de Urlan Salgado de Barros
Enviada em: quarta-feira, 22 de agosto de 2012 20:26
Para: Grupo de Trabalho de Engenharia e Operacao de Redes
Assunto: Re: [GTER] ataque SYN-Flood

Opa,

Realmente o comando é para GNU/Linux. Eu esqueci de incluir essa informação. Muito obrigado, Luiz.

Urlan

Em 22 de agosto de 2012 16:49, Luiz Henrique G. Granja
<lgranja at gmail.com>escreveu:

> Marcelo,
>
> como você identificou que é um ataque do tipo SYN-FLOOD??
>
> Se o teu ataque é do tipo HTTP, aconselho o artigo:
>
> http://blog.corujadeti.com.br/esta-sofrendo-ataques-ddosdos-http-varni
> sh-na-cabeca/
>
>
> Urlan, esta informação é para SO Unix/Linux.
>
>
> Em 22 de agosto de 2012 15:02, Marcelo da Silva 
> <marcelo at mginformatica.com> escreveu:
> > mas o meu maior problema é que segundo meu UPSTREAM é quase 3 vezes 
> > maior que minha banda disponivel....
> >
> > ai vai por agua abaixo todas as outras tecnica...
> >
> > Em 22.08.2012 16:07, Urlan Salgado de Barros escreveu:
> >
> >> Olá Marcelo,
> >>
> >> Existe uma RFC descreve o ataque Syn-Flooding e as formas de defesa
> contra
> >> o ataque: http://tools.ietf.org/html/rfc4987
> >>
> >> A abordagem mais comum de mitigar o ataque seria utilizando SYN 
> >> cookies, que além de estar descrita na RFC, também pode ser 
> >> encontrada em http://cr.yp.to/syncookies.html .
> >>
> >> Para você habilitar os syncookies basta usar o comando:
> >>
> >> *echo 1 > /proc/sys/net/ipv4/tcp_syncookies*
> >>
> >> Abração.
> >>
> >> Urlan
> >>
> >> Em 22 de agosto de 2012 15:20, Marcelo da Silva
> >> <marcelo at mginformatica.com>escreveu:
> >>
> >>> Ola pessoal
> >>>
> >>> estou tendo um ataque  SYN-Flood em um dos nossos servidores e 
> >>> estamos tendo grandes transtorno com isso...
> >>>
> >>> Nosso link é pequeno e nao aguenta o tranco, no nosso router 
> >>> publiquei 4 redes/24, agora a rede em que esta o servidor esta no 
> >>> BlackHole da OI.
> >>> ja faz 2 dias, basta tirar do blackhole  o ataque inicia..
> >>>
> >>> a OI esta se negando a ajudar no bloqueio na rede deles, ja que o
> ataque
> >>> vem de varias origem...
> >>> eles apenas bloquearam  tudu com destino ao ip do meu servidor, ai 
> >>> troquei o ip do servidor um dia depois o ataque comecou no outro 
> >>> IP...
> >>>
> >>> o que podemos fazer neste caso ?
> >>> --
> >>> gter list
> >>> https://eng.registro.br/**mailman/listinfo/gter<
> https://eng.registro.br/mailman/listinfo/gter>
> >>
> >> --
> >> gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
>
>
>
> --
>
> ____________________
> Att
> Luiz Henrique G. Granja
> lgranja at gmail.com
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>
--
gter list    https://eng.registro.br/mailman/listinfo/gter



More information about the gter mailing list