Toon posts:

[RHEL5] Server DDOS'en op één 2mbit conn. met 200kB tool

Pagina: 1
Acties:

dinsdag 20 mei 2008 17:56

Acties:

Verwijderd

Topicstarter
Ik overleg met iemand op MSN zijn we samen bezig geweest de veiligheid te testen van de servers.

Hij kwam met een 50kB executable aan, waarmee hij de server plat legde. Bleek geen virus, bleek echt zo.

Nu heb ik Engage Packet Builder gedownload en probeer ik hetzelfde. 10K packages versturen in 5 seconden gaat perfect. Ik verspil 300kB/s dataverkeer en m'n internet flipt, reageert niet meer op andere dingen tegelijkertijd. Echter draait de server nog keurig door.

De server zou dit gewoon kunnen opvangen waarschijnlijk dus. Of de switch dropt misschien de pakketjes al. Had namelijk ip-gespooft, zal daar misschien mee te maken hebben.

Kan iemand er wat meer inzicht in verschaffen? Wat kan ik hier bijvoorbeeld aan doen, dat dit niet meer gebeurt? En hoe kan ik dit natesten?

Al mijn tests zijn gericht geweest op eigen server-ip. Backup-server HTTP.

HTTP ging ook alleen down tijdens het uitvoeren van de file. Indien file wordt gestopt gaat HTTP vanzelf weer werken.
Echter las ik op een andere website:
code:
1
2
3
4
5
6
7
8
9

nano /etc/sysctl.conf

Voeg de volgende regels toe:
net.ipv4.icmp_echo_ignore_broadcasts = 1
net.ipv4.icmp_echo_ignore_all = 1

Bestand opslaan en het volgende commando uitvoeren:

sysctl -p
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27

TCP Syn cookie beveiliging

Een “SYN attack” is een Denial of Service die alle systeembronnen van het systeem bezet houden totdat het systeem noodgedwongen herstart moet worden of zelfs voor enige tijd uitgeschakeld moet worden wanneer de aanval doorgaat. Het netwerkverkeer stijgt gigantisch door het gebruik van TCP Syn cookies waarbij het systeem onderuit kan gaan.

 

Dit valt wederom deels te beveiligen. Dit doen we op de bekende twee manieren:

 

[root@alcatraz /]#echo 1 >/proc/sys/net/ipv4/tcp_syncookies

 

Plaats deze regel in “/etc/rc.local” om het te activeren bij het opstarten.

Bij de nieuwere methode worden wederom twee regels in “/etc/sysctl.conf” toegevoegd:

 

# Aanzetten van TCP SYN Cookies beveiliging

net.ipv4.tcp_syncookies = 1

 

Het netwerk dient wederom opnieuw opgestart te worden: “/etc/init.d/network restart”
Dit verhelpt zo'n portfuck.exe toch niet mag ik hopen?
Ik was geschrokken dat ik op m'n eigen lijntje m'n hele server onderuit kon halen.

En indien die aanpassing dergelijke aanvallen verhelpt. Waarom staat dit standaard niet ingesteld op een RHEL-server?

dinsdag 20 mei 2008 23:29

Acties:
  • deadinspace
  • Registratie: Juni 2001
  • Laatst online: 23:23

deadinspace

The what goes where now?

Dit verhelpt zo'n portfuck.exe toch niet mag ik hopen?
Ik was geschrokken dat ik op m'n eigen lijntje m'n hele server onderuit kon halen.
Dat valt niet goed te zeggen zonder dat we weten wat dat progje precies doet.
En indien die aanpassing dergelijke aanvallen verhelpt. Waarom staat dit standaard niet ingesteld op een RHEL-server?
Omdat SYN cookies ook nadelen hebben. Ik weet zo niet meer wat, maar daar kan een zoekmachine je vast mee helpen ;)

Je tweede code block is trouwens niet echt lekker leesbaar, een quote block zou beter zijn denk ik.
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq