Sayfayı Yazdır | Pencereyi Kapat

SYN Saldýrýlar Hakkýnda:

Nereden Yazdırıldığı: Bilginin Adresi
Kategori: Bilgisayar Güvenliði / Computer Security
Forum Adı: Güvenlik / Security Makaleleri
Forum Tanımlaması: Bilgisayarýnýzý Her Türlü Saldýrýya Karþý Korumak Ýçin Yapmanýz Gerekenler
URL: https://www.bilgineferi.com/forum/forum_posts.asp?TID=8589
Tarih: 28-03-2024 Saat 16:43


Konu: SYN Saldýrýlar Hakkýnda:
Mesajı Yazan: megabros
Konu: SYN Saldýrýlar Hakkýnda:
Mesaj Tarihi: 18-04-2010 Saat 11:22

SYN Saldýrýlar Hakkýnda:

SYN (TCP baðlantý isteði), aþaðýdaki karakteristiklere sahip çok yaygýn bir DoS saldýrýsýdýr:

1-) Saldýrgan Internette kullanýlmayan IP adreslerini aldatma ile kullanarak (kaynak adresi olarak kullanarak - spoof) birçok SYN paketini hedef makinaya yollar

2-) Alýnýn her SYN pakedi için, hedef makina kaynak ayýrýr ve onay paketini (SYN-ACK) (SYN pakedinin yollandýðý) kaynak ip adresine yollar .

3-) Hedef makina, saldýrý yapýlan makinadan yanýt alamayacaðýndan dolayý, SYN-ACK paketini 5 kez tekrar edecektir. Bunun tekrar süreleri, 3, 6, 12, 24 ve 48 saniyedir. Ayýrdýðý kaynaðý boþa çýkartmadan evvel, 96 saniye sonra son bir kez SYN-ACK denemesi yapacaktýr. Hepsini topladýðýnýzda, görüldüðü gibi hedef makina ayýrdýðý kaynaklarý 3 dakika gibi bir süre tutacaktýr. Bu sadece her bir SYN ataðý için gerçekleþecek süredir.

Saldýrgan bu tekniði tekrarlanan bir þekilde gerçekleþtirdiði zaman, hedef makina ayýrdýðý kaynaklardan dolayý kaynak yetersizliðine kadar ulaþýr ve artýk yeni bir baðlantý karþýlayamayacak duruma gelir. Ve bu durumda yetkili kullanýcýlar bile makinaya baðlanamaz.

Sisteminizde böyle bir atakla karþý karþýya olup olmadýðýnýzý anlamak için, komut satýrýnda :

netstat -n -p tcp yazmanýz yeterli olacaktýr.

Çýkan sonuca bakýp, SYN_RECEIVED durumunda olan çýkýþlarý kontrol edebilirsiniz. Eðer bu tip duruma sahip birçok baðlantý varsa, sisteminiz bu saldrýya maruz kalmýþtýr.

Sisteminizi korumak için:


Ateþ duvarlarý tabii ki sisteminizi bu tip saldýrýlardan koruyacaktýr, ve eðer mümkünse ateþ duvarý kullanmanýz gerekmektedir. Fakat, windows da hali hazýrda zaten bu saldýrýlara karþý korunmanýn bir yolu mevcuttur ve SYN isteklerini daha çabuk zaman aþýmýna uðratabilirsiniz. Bu özelliði çalýþýr duruma getirebilmek için izlenmesi gereken adýmlar þunlardýr:

1-) Registry editörünüzü çalýþtýrýn ve HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters deðerini bulun

2-) Edit menüsünden Yeni bir DWORD deðeri oluþturmayý seçin ve

3-) Adýný "SynAttackProtect" verin.

4-) Yarattýðýnýz anahtarýn üzerinde çift týklayýn ve deðerini "2" verin

5-) Registry editörünü kapatýn ve makinanýzý tekrar baþlatýn

Burada "SynAttackProtect" deðiþkeninin kabul edilen baþlangýç deðeri 0 (sýfýr) dýr. Ve koruma kapalýdýr.


Verilecek "1" deðeri ise en yüksek TCP baðlantý deðerine ulaþýldýðýnda (Örneðin; baðlantýnýn SYN_RECEIVED durumu TcpMaxHalfOpen olarak bilinir) ve tekrar ile karþýlaþýldýðýnda (Örneðin; TcpMaxHalfOpenRetried) SYN tekrarýný ve yönlendirme bellek deðerinin bekleme süresini limitler.

Eðer "SynAttackProtect" deðeri "2" olursa, sonuç 1 verildiðindekine benzer olacaktýr fakat SYN iþlemindeki 3-yollu el sýkýþma bitene kadar bekleyen bir geciktirilmiþ Winsock notification içerir.

Çünki Windows "SynAttackProtect" deðerini, "TcpMaxHalfOpen" ve "TcpMaxHalfOpenRetried" da tanýmlanan deðerlere ulaþtýðýnda çaðýrýp kullanacaktýr. Size tavsiyemiz bu iki deðeride ayný registry konumunda (HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters) oluþturmanýz ve deðerlerini aþaðýdaki gibi girmenizdir.

TcpMaxHalfOpen=100
TcpMaxHalfOpenRetried=80

Saygýlar.



Sayfayı Yazdır | Pencereyi Kapat