[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor][Sobre SYN flooding]
Bueno, hasta donde se el syn flooding existe porque las
especificiaciones
de TCP asi lo definen:
Para establecer una conexión en tcp se hace lo que se llama '3 way
handshaking' que consta de los siguientes pasos:
a) la máquina que se desea conectar (cliente) avisa a la maquina host
con un paquete
SYN
b) El host responde con un paquete SYN-ACK e inicializa el número de
secuencia
c) finalmente la máquina cliente avisa que ya está lista con un paquete
ACK y a partir de aquí se inicia comunicación
El ataque es muy simple, se realizan los pasos a) y b) pero la máquina
cliente nunca realiza el paso c), esto deja al host esperando el ack en
lo que se conoce como "conexión semiabierta"
(normalmente alteran la dirección de origen de los paquetes para
dificultar el rastreo, pero bueno, con un montón de chamacos 'wanna be
hacker' en toda la red que todo lo que hacen es bajar programitas y
correrlos pero la mayoría no tienen ni la más remota idea de cómo
funcionan, es común que no lo hagan y a veces los puedes rastrear), te
recomiendo que revises tus paquetes con la utilería tcpdump (dale man
tcpdump para ver como se ocupa... creo que solo lo puede usar el root ).
Bueno, ahí solo fijate en los paquetes SYN, que se marcan con una S en
la primera linea (al final) de cada reporte de paquete, ahí puedes ver
todo el proceso de conexión incluyendo las direcciones y puertos de
origen y de destino. Por supuesto, manda la salida a un archivo, creo
que no hay un ser humano capaz de analizar en pantalla todas las
conexiones, porque si son varias, el scrolling va a ir echo la duro.
Finalmente, y asumiendo que no alteraron la dirección de origen del
paquete, le puedes dar traceroute para ver por dónde pasó este paquete y
ver de qué dominio viene (si no lo alteraron, lo + probable es que te
encuentres con una dirección dinámica de algún ISP local como Telmex,
Datanet, etc...).
Hay un detalle con esto cuando se utilizan direcciones de origen
alteradas (spoofing): esto se convierte en un ataque ciego, es decir, el
atacante no tiene idea de si ignoraste su petición, si se perdió el
paquete SYN, etc. , porque el paquete de respuesta ACK se va al limbo (o
mejor dicho, a la dirección alterada).
¿Y esto que nos quiere decir? simple, que probablmente primero
examinaron nuestro sistema revisando los puertos, por ejemplo, pudieron
checar si tienes habilitados los puertos 15 (netstat), 23 (telnet),
79(finger), 137-139 (netbios), etc. (si quieres revisar + puertos,
échale un ojo a : /etc/services).
¿Entonces cual es la moraleja?... registra todos los intentos de acceso
a puertos raros o que no deberían de ser accesados remotamente, puedes
conseguirte el 'portsentry', es bastante decente para este tipo de
cosas. Le das una checada a los logs de vez en cuando y ahí te das
cuenta si alguien ha estado examinando tu máquina, y sobre todo, quién.
Sobre el Syn flooding en Linux no te preocupes, según recuerdo, el
buffer donde va registrando conexiones semiabiertas (con capacidad entre
5 y 8 según recuerdo) no da overflow porque empieza a deshechar las
peticiones + viejas si éstas no han tenido respuesta y creo que ya tiene
tiempo que arreglaron eso (incluso recuerdo que cambia la velocidad a la
que responde a las conexiones y otras cosas pero bueno, la idea es esa).
Para mayor seguridad haz lo siguiente: entra como root y edita el
archivo inetd.conf, ponle un '#' al principio de cada servicio que no
vayas a utilizar de manera remota (muy recomendado en finger, cfinger,
systat y netstat), de hecho, creo que basta con que dejes los pop y los
imap (esmtp, el de correo no se define desde ahí).
Bueno, espero que haya servido de algo...
----
Y antes de que alguien lo pregunte... no, no soy hacker ni cracker ni
nada de eso, por el contrario,
me dedico a consultoría sobre seguridad :-)
Saludos
Omar Herrera (oherrera en linux ccm itesm mx)
[Coordinador de Taller de Seguridad en Sistemas
ASCI (Asociación de Sistemas Computacionales e Ingeniería)
ITESM Campus Ciudad de México]