SYN Saldirilar : Engelleme ve Koruma

[CaLViN]

SYN Saldirilar Hakkinda:

SYN (TCP baglanti istegi), asagidaki karakteristiklere sahip cok yaygin bir DoS saldirisidir:

1-) Saldirgan Internette kullanilmayan IP adreslerini aldatma ile kullanarak (kaynak adresi olarak kullanarak - spoof) bircok SYN paketini hedef makinaya yollar
2-) Alinin her SYN pakedi icin, hedef makina kaynak ayirir ve onay paketini (SYN-ACK) (SYN pakedinin yollandigi) kaynak ip adresine yollar
3-) Hedef makina, saldiri yapilan makinadan yanit alamayacagindan dolayi, SYN-ACK paketini 5 kez tekrar edecektir. Bunun tekrar süreleri, 3, 6, 12, 24 ve 48 saniyedir. Ayirdigi kaynagi bosa cikartmadan evvel, 96 saniye sonra son bir kez SYN-ACK denemesi yapacaktir. Hepsini topladiginizda, görüldügü gibi hedef makina ayirdigi kaynaklari 3 dakika gibi bir süre tutacaktir. Bu sadece her bir SYN atagi icin gerceklesecek süredir.
Saldirgan bu teknigi tekrarlanan bir sekilde gerceklestirdigi zaman, hedef makina ayirdigi kaynaklardan dolayi kaynak yetersizligine kadar ulasir ve artik yeni bir baglanti karsilayamayacak duruma gelir. Ve bu durumda yetkili kullanicilar bile makinaya baglanamaz.

Sisteminizde böyle bir atakla karsi karsiya olup olmadiginizi anlamak icin, komut satirinda :

netstat -n -p tcp yazmaniz yeterli olacaktir. yada netstat -np | grep SYN_RECV | awk '{print $5}' | cut -d. -f1-4 | cut -d: -f1 | sort -n | uniq -c | sort -n
su kodu kullanabilirsiniz

cikan sonuca bakip, SYN_RECEIVED durumunda olan cikislari kontrol edebilirsiniz. Eger bu tip duruma sahip bircok baglanti varsa, sisteminiz bu saldriya maruz kalmistir.
Sisteminizi korumak icin:
Ates duvarlari tabii ki sisteminizi bu tip saldirilardan koruyacaktir, ve eger mümkünse ates duvari kullanmaniz gerekmektedir. Fakat, windows da hali hazirda zaten bu saldirilara karsi korunmanin bir yolu mevcuttur ve SYN isteklerini daha cabuk zaman asimina ugratabilirsiniz. Bu özelligi calisir duruma getirebilmek icin izlenmesi gereken adimlar sunlardir:
1-) Registry editörünüzü calistirin ve HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Param eters degerini bulun
2-) Edit menüsünden Yeni bir DWORD degeri olusturmayi secin ve
3-) Adini "SynAttackProtect" verin.
4-) Yarattiginiz anahtarin üzerinde cift tiklayin ve degerini "2" verin
5-) Registry editörünü kapatin ve makinanizi tekrar baslatin
Burada "SynAttackProtect" degiskeninin kabul edilen baslangic degeri 0 (sifir) dir. Ve koruma kapalidir.
Verilecek "1" degeri ise en yüksek TCP baglanti degerine ulasildiginda (Örnegin; baglantinin SYN_RECEIVED durumu TcpMaxHalfOpen olarak bilinir) ve tekrar ile karsilasildiginda (Örnegin; TcpMaxHalfOpenRetried) SYN tekrarini ve yönlendirme bellek degerinin bekleme süresini limitler.

Eger "SynAttackProtect" degeri "2" olursa, sonuc 1 verildigindekine benzer olacaktir fakat SYN islemindeki 3-yollu el sikisma bitene kadar bekleyen bir geciktirilmis Winsock notification icerir.
cünku Windows "SynAttackProtect" degerini, "TcpMaxHalfOpen" ve "TcpMaxHalfOpenRetried" da tanimlanan degerlere ulastiginda cagirip kullanacaktir. Size tavsiyemiz bu iki degeride ayni registry konumunda (HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Param eters) olusturmaniz ve degerlerini asagidaki gibi girmenizdir.
TcpMaxHalfOpen=100
TcpMaxHalfOpenRetried=80

Alintidir.

merhabalar bir sorum olacak.
rootdayken
netstat -np | grep SYN_RECV
dedim 5-6 ip cikti. 3 u filan ayniydi ama degisik portlar vardi yaninda. simdi bunlar kesinlikle saldiri yapiyormudur. yani normal saldiri yapmayan biride burada gozukebilir mi? onlari banlamayalimda

[sinangunay]

Hayir saldiri yapiyorlar anlamina gelmez. Öncelikle su var, her normal baglantida sunucudaki websitesini acmak icin SYN paketi gonderir. Bu yuzden her zaman orada SYN_RECV, SYN, SYN_ACK gibi outputlar gorursunuz. Eger ayni IP'den 10-15 adet varsa saldiri baslamis demektir..


netstat -an|grep SYN
Bu komut ile SYN baglanti acanlari listeleyebilirsiniz.

netstat -an|grep SYN|wc -l
Bu komut ile kac tane SYN baglantisi / saldirisi var saydirabilirsiniz.

netstat -an|grep SYN|sort
Bu komut ile tum SYN yapan IP'lerin ciktisini alip siralatabilirsiniz.. (ornegin 15 tane SYN acan 1.1.1.1 IP'si alt alta siralanir sizde keyifle banlayabilirsiniz)


Bu kadar

Bu arada ekleme, hostbank abi kizacak ama yukarida yazilan korunma yontemleri hicbi ise yaramaz :p

[CaLViN]

yukarida windows icin koruma yontemi var.
windows sunucuda syn diye bir olaydan soz etmek komik olur.
bu islemi yapinca kale gibi olur syn felan yemez

[sinangunay]

evet ben linux olandan bahsettim zaten. Windows sunucuyu guvenli halemi getirmek istiyorsunuz? Default firewall'i aktif edin yeter

saol tesekkurler sinan verdigin bilgiler icin