Witam,
mam problemy ze zrozumieniem do konca pewnych wlasnosci; jezeli mozecie rozjasnijcie
jak wiadomo: Sesja TCP powstaje w wyniku procesu three-way handshake czyli nadawca SYN, odbiorca SYN+ACK, nadawca ACK
atak SYN-flood: wykorzystanie slabosci w momencie przesyłania strumieni pakietów synchronizacyjnych
przeciwdzialanie:
1)SYN-cookies: zrozumiale dla mnie (w iptables to mozna napisac)
2)SYN-defender: jezeli dobrze rozumie, przejmuje wszystkie segmenty SYN przesylane do ochranianego systemu. Polaczenie nawiazane dopiero gdy odebrane jest ACK
on to sobie jakos w buforze przechowuje?
Tzn tego bufora juz nie mozna przeciazyc?
3)SYN-proxy: jezeli dobrze rozumie, wspolpracuje z firewallem, ktory podobnie jak w technice obrony SYN-defender, buforuje caly proces nawiazywania polaczenia; gdy odebrane zostanie ACK, powtarzana jest cala sekwencja nawiazania polaczenia z chronionym hostem
tego za bardzo nie rozumiem... jak on powtarza cala sekwencje nawiazania polaczenia to:
gdzie tu jest sesja TCP?
Czy to jest zasada tego typu: ten host jest zaufany - to sie z nim teraz polaczymy?
4)Ochrona z wykorzystaniem odpowiednich skladni napisanych w firewall'u:
zastosowanie firewall'a, ktory rozpoznaje wiele identycznych strumieni pakietow z bitem SYN, wysylane z tego samego adresu IP,ale:
chyba mozna stworzyc pakiety SYN z losowo generowanym zrodlowym IP?
czy takie rozwiazanie mialoby sens tylko w sieci wewnetrznej?
to chyba tyle pytan