SYN Attack Anlatimi

PC güvenliği konusundaki bilgi paylaşım alanıdır.
Cevapla
Kullanıcı avatarı
velociraptor
Yottabyte3
Yottabyte3
Mesajlar: 28191
Kayıt: 14 Mar 2006, 02:33
cinsiyet: Erkek

SYN Attack Anlatimi

Mesaj gönderen velociraptor » 22 Mar 2006, 02:02

SYN Saldirilar Hakkinda: SYN (TCP baglanti istegi), asagidaki karakteristiklere sahip cok yaygin bir DoS saldirisidir:
1-) Saldirgan Internette kullanilmayan IP adreslerini aldatma ile kullanarak (kaynak adresi olarak kullanarak - spoof) bircok SYN paketini hedef makinaya yollar
2-) Alinin her SYN pakedi icin, hedef makina kaynak ayirir ve onay paketini (SYN-ACK) (SYN pakedinin yollandigi) kaynak ip adresine yollar
3-) Hedef makina, saldiri yapilan makinadan yanit alamayacagindan dolayi, SYN-ACK paketini 5 kez tekrar edecektir. Bunun tekrar süreleri, 3, 6, 12, 24 ve 48 saniyedir. Ayirdigi kaynagi bosa cikartmadan evvel, 96 saniye sonra son bir kez SYN-ACK denemesi yapacaktir. Hepsini topladiginizda, görüldügü gibi hedef makina ayirdigi kaynaklari 3 dakika gibi bir süre tutacaktir. Bu sadece her bir SYN atagi icin gerceklesecek süredir. Saldirgan bu teknigi tekrarlanan bir sekilde gerceklestirdigi zaman, hedef makina ayirdigi kaynaklardan dolayi kaynak yetersizligine kadar ulasir ve artik yeni bir baglanti karsilayamayacak duruma gelir. Ve bu durumda yetkili kullanicilar bile makinaya baglanamaz. Sisteminizde böyle bir atakla karsi karsiya olup olmadiginizi anlamak icin, komut satirinda : netstat -n -p tcp yazmaniz yeterli olacaktir. cikan sonuca bakip, SYN_RECEIVED durumunda olan cikislari kontrol edebilirsiniz. Eger bu tip duruma sahip bircok baglanti varsa, sisteminiz bu saldriya maruz kalmistir. Sisteminizi korumak icin: Ates duvarlari tabii ki sisteminizi bu tip saldirilardan koruyacaktir, ve eger mümkünse ates duvari kullanmaniz gerekmektedir. Fakat, windows da hali hazirda zaten bu saldirilara karsi korunmanin bir yolu mevcuttur ve SYN isteklerini daha cabuk zaman asimina ugratabilirsiniz. Bu özelligi calisir duruma getirebilmek icin izlenmesi gereken adimlar sunlardir:
1-) Registry editörünüzü calistirin ve HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Param eters degerini bulun
2-) Edit menüsünden Yeni bir DWORD degeri olusturmayi secin ve
3-) Adini "SynAttackProtect" verin.
4-) Yarattiginiz anahtarin üzerinde cift tiklayin ve degerini "2" verin
5-) Registry editörünü kapatin ve makinanizi tekrar baslatin Burada "SynAttackProtect" degiskeninin kabul edilen baslangic degeri 0 (sifir) dir. Ve koruma kapalidir. Verilecek "1" degeri ise en yüksek TCP baglanti degerine ulasildiginda (örnegin; baglantinin SYN_RECEIVED durumu TcpMaxHalfOpen olarak bilinir) ve tekrar ile karsilasildiginda (örnegin; TcpMaxHalfOpenRetried) SYN tekrarini ve yönlendirme bellek degerinin bekleme süresini limitler. Eger "SynAttackProtect" degeri "2" olursa, sonuc 1 verildigindekine benzer olacaktir fakat SYN islemindeki 3-yollu el sikisma bitene kadar bekleyen bir geciktirilmis Winsock notification icerir. cünki Windows "SynAttackProtect" degerini, "TcpMaxHalfOpen" ve "TcpMaxHalfOpenRetried" da tanimlanan degerlere ulastiginda cagirip kullanacaktir. Size tavsiyemiz bu iki degeride ayni registry konumunda (HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Para meters)
olusturmaniz ve degerlerini asagidaki gibi girmenizdir.
TcpMaxHalfOpen=100
TcpMaxHalfOpenRetried=80
ALINTIDIR- Bu islerden hic mi hic anlamam



Cevapla