Syn Flood Nedir =?

PC güvenliği konusundaki bilgi paylaşım alanıdır.
Cevapla
Kullanıcı avatarı
velociraptor
Yottabyte4
Yottabyte4
Mesajlar: 49108
Kayıt: 14 Mar 2006, 02:33
cinsiyet: Erkek
Teşekkür etti: 7388 kez
Teşekkür edildi: 6293 kez

Syn Flood Nedir =?

Mesaj gönderen velociraptor »

Syn Flood, 3 adimdan olusan bir D.o.S (Denial of Service) atak cesitidir.

İlk önce bu 3 adim'in ne olduguna bir göz atalim.

1. adim : İstemci makine,sunucu makinenin bir portuna baglanmak icin sunucu'ya bir baglanti talebinde bulunur.

2. adim : Sunucu makine bu istegi -eger kosullar uyuyor ise- kabul eder ve istemci makineye baglanti talebinin onayladigini belirtir.

3. adim : İstemci,sunucuya herseyin tamam oldugunu belirtir ve baglanti baslar.

Baglanti basladiktan sonra,veriler iki makine arasinda eszamanli olarak gidip gelir.Bu cesit baglantiya "full-duplex" iletisim denilir.Full-duplex iletisim sayesinde veri alis verisi iki makine arasinda es zamanli olur.

- Buraya kadar hersey iyi peki SyN Flood nedir ?

Ok. Az önce olayin üzerinden basit bir gecis yaptik.Gelin az önceki o 3 adim süresince neler olduguna bakalim.

1. adim : İstemci,sunucu makinenin herhangi bir servisine baglanmak istiyor telnet, mail, web, news..etc.. Ve sunucu makineye icinde kendisi hakkinda bilgi bulunan bir SYN (Synchronize) paketi yolluyor.

2. adim : Sunucu makine bu SYN paketini aliyor,ve istemci makineye gönderilen SYN'i aldigini belirten ACK (Acknowledgement) ile yine kendi hakkinda bilgi iceren SYN paketini beraber yolluyor.

3. adim : İstemci SYN+ACK paketini aliyor ve sunucuya ACK paketi ile bunu haber veriyor.Ve iki makine arasindaki baglanti basliyor.

simdiye kadar anlatilan seyler istemci ile sunucu makine arasindaki normal bir baglantidan baska birsey degildi.Yani ortada herhangi bir saldiri yoktu.Hersey normal idi.


simdide olayin saldiri yönüne bakacagiz.

Diyelim ki, ilk iki adim gerceklesti.Yani istemci bir SYN,sunucuda buna yanit olarak SYN+ACK paketlerini yolladi ve ACK paketini beklemeye koyuldu.Buraya kadar hersey güzel.Peki,ACK paketi gelmez ise ne olurdu? ACK paketi gelmez ise bu baglanti full-duplex degil "yari-acik" bir baglanti olurdu.Ve bu baglanti cesidi pek icacici degildir.

Sunucu SYN+ACK'yi yolladiktan sonra ACK icin bekler.Fakat dedigim gibi istemci ACK paketini yollamaz ise isler cikmaza girer.Sunucu beklemeyi birakmaz.Sürekli bekler..

Sunucu ACK icin beklerken,karsiya ACK yerine bir baglanti talebinde daha bulundugumuzu varsayalim.Ve yine 3. adim'i gerceklestirmeyelim.Yani son ACK'yi yollamayalim.Hatta bunu bir daha yapalim.. Bir daha .. Bir daha.. Ve "flood" sekline getirelim bunu :) (Eminim herkes flood'un anlamini biliyordur,IRC de cogu zaman kick+ban sebebi olur.)

Sunucu actigimiz her baglantinin son ACK paketini bekliyecektir.Actigimiz her baglanti hakkinda bilgiyi hafizaya yerlestirir.Ama bir süre olduktan sonra artik bu bilgi boyut olarak bayagi büyümüstür.Yani kisaca bu data,hafizada tasma meydana getirir.

Artik bir süre sonra bütün hafiza dolacaktir.Ve sunucu disaridan gelecek hicbir baglanti talebine yanit veremeyecektir.Normalde sistem baglanti icin ACK paketi beklerken,bu paketi bir süre icinde alamazsa baglantiyi iptal eder.Fakat saldiri sistemden daha hizli ve spoofed IP'ler ile sürdülürse,ne kadar baglanti iptal edilirse edilsin,yenileri eklenecektir.

- Hasar..
Bu sekil bir saldiri sonucunda,sunucuda bulunan TCP tabanli servisler saldiri altinda bulundugu sürece calismayacaktir.

- cözüm..
su günkü IP protokol'ü teknolojisine göre genel olarak bir cözüm kabul edilmis degil.Ama teknolojinin bugün yarattigi routerlar,basit bir konfigürasyon sayesinde bu saldiriyi engelleyebiliyorlar.Ayrica yeni kerneller bu saldiridan en az sekilde etkilenebilecek sekildeler.

- Sistemime SYN Flood yapildigini nasil anlarim?
Sisteminize taki bir Spoofed IP paketi girip icerde dolasana dek olaylarin farkina varmazsiniz. Siz disariya baglanti yapabilirsiniz,fakat problem disaridan gelen baglantilarin sisteminizce kabul edilmemesidir.

Sisteminize saldiri yapildigini anlamak icin Ag Trafigini kontrol etmelisiniz.

ALINTIDIR
Kullanıcı avatarı
velociraptor
Yottabyte4
Yottabyte4
Mesajlar: 49108
Kayıt: 14 Mar 2006, 02:33
cinsiyet: Erkek
Teşekkür etti: 7388 kez
Teşekkür edildi: 6293 kez

Mesaj gönderen velociraptor »

Syn Flood Block:

Eger internetten bilgisayariniza devamli olarak SYN paketleri geliyorsa ve saldiriya maruz kaliyorsaniz.Bu saldirilari engellemeniz mümkün

1. Baslat / calistir / regedit yazin

2. HKEY_LOCAL_MACHINE / SYSTEM / CurrentControlSet / Services / Tcpip / Parameters yolunu takip edin.

3. Acilan pencerede bosluga sag tiklayin ve DWORD degeri olusturun isim olarak SynAttackProtect yazin. cift tiklayarak acin ve 2 degerini verin

4. Ayni sayfada TcpMaxHalfOpen ve TcpMaxHalfOpenRetried DWORD degerlerini olusturun

TcpMaxHalfOpen ' i acarak deger olarak 100 yazin.

TcpMaxHalfOpenRetried ' i acarak deger olarak 80 yazin.

5. Ayarlarin kalici olmasi icin bilgisayarinizi yeniden baslatin.

Dökümani Hazirlayan : Osman Atabey

Tüm ayarlar Xpspeed v8 de zaaten yeralmaktadir
Cevapla