إعـــــــلان

تقليص
لا يوجد إعلان حتى الآن.

ماهو وكيف SYN attack

تقليص
X
 
  • تصفية - فلترة
  • الوقت
  • عرض
إلغاء تحديد الكل
مشاركات جديدة

  • ماهو وكيف SYN attack

    اريد معلومات مفيده عن SYN attack او SYN flooding وماهو الحل له ؟

    وكيف اعرف ان الخادم تحت الهجوم ؟
    وكيف تعمل حلول سيسكو الهاردوير ؟
    وهل يمكن ان اعمل حجب للعنوان الذي يهاجم ..من interface ؟
    وكيف اعرف انه ايضا يعمل ip spoofing ؟

    - اريد ان افحص عدد الاتصالات المفتوحة وعندما تقترب من الحد الاعلى اغلقها جمعا , او اغلق الاتصلات التي لا يوجد بها بينات , اقصد ان هذا الاتصال مفتوح فقط ولا تم عبره بينات وليس منه فائده . كيف يمكن ذلك ؟

    - مجرد تسائولات في ذهني ... ربما تكون تحتاج الى تنقيح
    daif.net/klinux

  • #2
    http://en.wikipedia.org/wiki/SYN_attack
    V.I.P

    (وَاصْبِرْ فَإِنَّ اللَّهَ لَا يُضِيعُ أَجْرَ الْمُحْسِنِينَ)
    هود 115

    Linux is user-friendly, but it happens to be selective about its friends

    "احذر أن تكون مثل البقية تأخذ وﻻتعطي ، فلن يكون هناك مصادر تعليمية على الشبكة، ﻻأكثر الله من أمثالهم"


    مجتمع لينوكس العربي: وقف لله تعالى وصدقة جارية، فلا بارك الله في كل من يحاول الإساءة إليه في الظاهر أو في الخفاء...


    تعليق


    • #3
      GreyHunter هل تعتقد اني لم أمر على هذه الرابط , او لم ابحث في قووقل ؟ (مستاء)

      هل هناك حل من iptables ام ان العمل يكون في الطبقه النقل بدون المرور على على البرامج ؟
      daif.net/klinux

      تعليق


      • #4
        المشاركة الأصلية بواسطة daif مشاهدة المشاركة
        GreyHunter هل تعتقد اني لم أمر على هذه الرابط , او لم ابحث في قووقل ؟ (مستاء)

        هل هناك حل من iptables ام ان العمل يكون في الطبقه النقل بدون المرور على على البرامج ؟
        ياخي انت طلبت تعريف و انا اعطيتك رابط للتعريف... ليش زعلان و مستاء مش فاهم؟؟

        ايش بتحب يعني نعمل ؟؟ ما دام بحثت في جووجل ليش لعاد تسأل؟؟ لا حول ولا قوة الا بالله...

        بالنسبة للiptables يمكنك عمل التالي لوقف هجمات الSYN :
        كود:
        iptables -A INPUT -p TCP ! --syn -m state --state NEW -j DROP
        وهناك هجمات غير الSYN مثل ال FIN,URG,PSH,RST وغيرها..يمكنك عمل التالي مثل التي يعملها الnmap و الX-MAS scans الخ ... :

        كود:
        iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP     
        iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP        
        iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP        
        iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP        
        iptables -A INPUT -p tcp --tcp-flags ALL FIN -j DROP                
        iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP               
        iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
        V.I.P

        (وَاصْبِرْ فَإِنَّ اللَّهَ لَا يُضِيعُ أَجْرَ الْمُحْسِنِينَ)
        هود 115

        Linux is user-friendly, but it happens to be selective about its friends

        "احذر أن تكون مثل البقية تأخذ وﻻتعطي ، فلن يكون هناك مصادر تعليمية على الشبكة، ﻻأكثر الله من أمثالهم"


        مجتمع لينوكس العربي: وقف لله تعالى وصدقة جارية، فلا بارك الله في كل من يحاول الإساءة إليه في الظاهر أو في الخفاء...


        تعليق


        • #5
          جدا أكثر من رائع ...
          هل ممكن اعرف الفرق في ان يتم وقف الهجمات عن طريق iptables او عن طريق العتاد .
          هل ممكن تشرح لي الامر السابق او ماذا يفعل بالضبط ... لانى لم افهمه بشكل كامل .
          كود:
          iptables -A INPUT -p TCP ! --syn -m state --state NEW -j DROP
          daif.net/klinux

          تعليق


          • #6
            المشاركة الأصلية بواسطة daif مشاهدة المشاركة
            جدا أكثر من رائع ...
            هل ممكن اعرف الفرق في ان يتم وقف الهجمات عن طريق iptables او عن طريق العتاد .
            هل ممكن تشرح لي الامر السابق او ماذا يفعل بالضبط ... لانى لم افهمه بشكل كامل .
            كود:
            iptables -A INPUT -p TCP ! --syn -m state --state NEW -j DROP
            هل اطلعت علي هذا؟
            http://www.linuxac.org/forum/showthread.php?t=61
            BOOOF , I AM GONE
            Still , you gotta wait for my PRESENT :D
            C programming arabic Tutorial|Programming-fr34ks

            تعليق


            • #7
              المشاركة الأصلية بواسطة daif مشاهدة المشاركة
              جدا أكثر من رائع ...
              هل ممكن اعرف الفرق في ان يتم وقف الهجمات عن طريق iptables او عن طريق العتاد .
              هل ممكن تشرح لي الامر السابق او ماذا يفعل بالضبط ... لانى لم افهمه بشكل كامل .
              كود:
              iptables -A INPUT -p TCP ! --syn -m state --state NEW -j DROP
              لا اعتقد الفرق كثير بالنسبة لاستخدام هاردوير مثل سيسكو بكس او استخدام الiptables... لكن استخدام الهاردوير يجعل السيرفر يعمل بفعالية لأنه ليس مشغولا بالتصدي للهجمات... ولكن بكل بساطة يمكنك وضع الiptables على جهاز منفصل بأقل قدر ممكن من المكتبات و التطبيقات عليه و حتى دون وجود X Server ايضا...

              الأمر يقوم بصد اي كونكشن من نوع SYN ترسل للجهاز وهي ليست الأولى في الكونكشن ... اي ان الSYN يجب ان تكون الأولى في الكونكشن حتى يأتيها الACK من الجهة المقابلة... حتى لا يتعرض الجهاز لفيضان متواصل من الSYN قبل ان يقوم باتمام الكونكشن الاصلية او الاولى... و يتعرض ل DoS attaks
              V.I.P

              (وَاصْبِرْ فَإِنَّ اللَّهَ لَا يُضِيعُ أَجْرَ الْمُحْسِنِينَ)
              هود 115

              Linux is user-friendly, but it happens to be selective about its friends

              "احذر أن تكون مثل البقية تأخذ وﻻتعطي ، فلن يكون هناك مصادر تعليمية على الشبكة، ﻻأكثر الله من أمثالهم"


              مجتمع لينوكس العربي: وقف لله تعالى وصدقة جارية، فلا بارك الله في كل من يحاول الإساءة إليه في الظاهر أو في الخفاء...


              تعليق


              • #8
                بالنسبة لراوترات سيسكو سيكون عن طريق استخدام ACLs وال rate limiting
                مرجع للاعدادت:
                http://www.cisco.com/warp/public/707/newsflash.html
                There's no place like 127.0.0.1

                تعليق


                • #9
                  لا اعتقد انه يوجد حل لل DDOS Attack وحتى عند توقيف SYN ماذا تسوف تستفيد من السيرفر كل الطلبات تحتاج لل SYN لعمل ال handshake ،،

                  الشيء الثاني هذا فقط نوع واحد من الهجمات ، ومثل ما تفضل الاخ المشرف هناك عدة انواع من الهجمات ،،

                  تقدر اقل شيء ترسل حزم TCP Attack على البروت 80 في اي ويب سيرفر ،، وراح يطيح على الفور ،،

                  طبعا تحتاج ، لكمية من الضحايا للقيام بهذا الهجوم ،،

                  ايضا هذا الهجوم صعب جدا اكتشافة لانه ياتي من ضحايا مخترقين اللي يسمون ( الزوميز ) وكل واحد من دولة ، ويكون الهجوم اصلا من سيرفر مخترق مسبقا ،،

                  واشهر شيء لهذه الهجمات في IRC ،،،

                  الله يعني اللي ينضرب Dos ، السيرفر بيدة وليس بيدة شيء

                  تعليق


                  • #10
                    فعلاً هجمات ال dos معاناه ، وحلولها مكلفه

                    ياما اختفت بسببها مواقع

                    تعليق


                    • #11
                      السلام عليكم و رحمة الله و بركاته
                      أولا أخى الفاضل طبعا لا يمكنك وقف الدوس أتاك من خلال السرفر فقط بل من خلال جهاز حماية أن كان الهجوم بشكل كبير و لكن يمكنك تقليل الدوس أتاك أو صده من خلال السرفر أن كان الهجوم ليس شديد و ذلك من خلال الأتى :
                      1 - تستيب CSF
                      http://www.configserver.com/cp/csf.html
                      2 - Add some paramter at kernerl ( sysctl.conf )*
                      ## Reduce DoS'ing ability by reducing timeouts
                      echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout
                      echo 1800 > /proc/sys/net/ipv4/tcp_keepalive_time
                      echo 1 > /proc/sys/net/ipv4/tcp_window_scaling
                      echo 0 > /proc/sys/net/ipv4/tcp_sack
                      echo 1280 > /proc/sys/net/ipv4/tcp_max_syn_backlog
                      echo 1 > /proc/sys/net/ipv4/tcp_syn****ies
                      echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
                      echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
                      echo "1" > /proc/sys/net/ipv4/conf/all/accept_redirects
                      echo "1" > /proc/sys/net/ipv4/conf/all/log_martians
                      echo "65535" > /proc/sys/net/ipv4/ip_conntrack_max
                      3-Add some rules by iptables for limiting syn packet*
                      /*##recive only 5 syn packet per second */
                      /sbin/iptables -N syn-flood
                      /sbin/iptables -A syn-flood -m limit --limit 5/second --limit-burst 5 -j
                      RETURN
                      /sbin/iptables -A syn-flood -j LOG --log-prefix "SYN flood: "
                      /sbin/iptables -A syn-flood -j DROP

                      ptables -A FORWARD -p tcp --syn -m limit --limit 5/s -j ACCEPT

                      iptables -A INPUT -p icmp -m limit --limit 1/s -j ACCEPT
                      iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit
                      --limit 5/s -j ACCEPT
                      iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit
                      1/s -j ACCEPT
                      iptables -A INPUT -p icmp -m limit –limit 1/s –limit-burst 1 -j ACCEPT

                      /*###Let us assume that you need rule that will limit incoming
                      connection to mail server (port 110 - 995 ) to no more than 10
                      connections in a 30 second */

                      iptables -I INPUT -p tcp --dport 110 -i eth0 -m state --state NEW -m
                      recent --update --seconds 30 --hitcount 10 -j DROP
                      iptables -I INPUT -p tcp --dport 995 -i eth0 -m state --state NEW -m
                      recent --update --seconds 30 --hitcount 10 -j DROP

                      4-Install mod_evasive

                      تعليق


                      • #12
                        الاعداد المتقدم و الصحيح للiptables يمكنه صد اي نوع من هجمات الDDos وانا واثق من كلامي... هناك قدرات خيالية في هذا الفايروول ، وبالنسبة لتعليق الأخ CEH فكلامك صحيح اننا نحتاج للsyn حتى نتمم عملية الهاندشيك... ولكننا لم نمنع الSYN الأولى و لكن منعنا الثانية قبل اتمام الأولى حتى نتجنب الفلوود. وبنفس الطريقة يمكنني منع الping بتحديد عملية ping من نفس الip كل ثانية فقط، واذا قلت فترة الping عن الثانية فسيمنعها... وهناك روولز كثيرة يمكننا تطبيقها لصد اي نوع آخر من هجمات الDDoS بنفس الطريقة حتى لو كانت حزم الhttp الكبيرة وذلك بانشاء عداد داخل الiptables عند وصوله لعدد معين يقوم بفصل الخدمة عنه لمدة قصيرة قد تكون مثلا لمدة دقيقة واحدة ومن ثم معاودة توفير الخدمة ثانية بعد عمل reset لهذا العداد.

                        من قرأ مادة ريدهاتRHCSS الكتاب الخاص بالiptables سيدرك القدرات الخرافية له، لذا فإن هجمات الDDoS تعتبر سخيفة جدا مقارنة مع غيرها...ولكن مشكلتها الاساسية هي سهولة تطبيقها من قبل أي لامر...
                        V.I.P

                        (وَاصْبِرْ فَإِنَّ اللَّهَ لَا يُضِيعُ أَجْرَ الْمُحْسِنِينَ)
                        هود 115

                        Linux is user-friendly, but it happens to be selective about its friends

                        "احذر أن تكون مثل البقية تأخذ وﻻتعطي ، فلن يكون هناك مصادر تعليمية على الشبكة، ﻻأكثر الله من أمثالهم"


                        مجتمع لينوكس العربي: وقف لله تعالى وصدقة جارية، فلا بارك الله في كل من يحاول الإساءة إليه في الظاهر أو في الخفاء...


                        تعليق


                        • #13
                          SYN ATTACK IN ALL METHODS !

                          السؤال كان بيتكلم عن ما هو الSYN و فجأة قلب لdosو الdos أصبح ddos و كلام كتير و الحقيقة هي إن في حاجات كتيرة غايبة عن الناس و الكل فاكر إن dos هو ddos و طبعا فرق بينهم و محدش بيتكلم عن drdos مع إنه أخطرهم بدون شك!
                          .

                          أولاً ميكانيكية عمل كل كل نوع من أنواع الهجوم التلاتة الأشهر

                          1- dos

                          ببساطة هو هجوم حجب الخدمة بيتم عن طريق bug في software على الويب سرفر أو عن طريق إرسال packets كتيرة لحد ما يحصل للخدمة تعطل أو شلل او freeze أو مثلا الباندويث يخلص و هكذا...

                          طبعا دا ممكن يتم من خلال تلت طرق

                          الاولى و هي عن طريق طلبات الICMP و دا كان بيحصل زمان ويمكن الناس مش مصدقة لكن كان بيحصل.. تلم حبة عيال صحابك على الماسنجر و تقومو تعملو ping على السرفر لحد ما يقف! طبعا الفكرة دي مضحكة دلوقتي.. لكن هي كانت قابلة للتطبيق و كانت بتجيب نتيجة طبعا لو حطينا في إعتبارنا إن زمان كانت الرامات العظمى مثلا 64 او 128 و البروسيسور مكنش دوال كور زي بتاع حضرتك دلوقتي.. فكان من الممكن إنه يحصل نتيجة

                          التانية و هي عن طريق الSYN FLOOD و الفكرة هي إنه المهاجم بيضحك على السرفر و يفضل يبعتله في فيsyn syn و مبيوصلوش الرد من السرفر.. ليه مبيوصلوش؟ لإنه بيكون عامل SPOOF للأي بي و بالتالي مبيوصلوش الsyn و الack و السرفر يفتكر انه وصلهم و يفضل مستني يجيله رد الack من الكلينت.. و طبعا هيفضل مستني كتير ومش هيوصله حاجة!

                          الطريقة التالتة و هي لا تصلح الأن لإنها كانت بسبب وجود ثغرة في الBIND و هي ملهاش لازمة دلوقتي لكن عموما هي كانت بتستغل خطأ برمجي في BIND



                          تخيلو كدا إن كل الكلام دا ملوش لازمة؟ أيوة ملوش لازمة و سهل توقفه. ليه سهل؟ لإن كل دا بيحصل من One attacker مش من مجموعة و عشان كدا هو ملوش لازمة...


                          أما بقا بخصوص كلامGreyHunter بإنه يستطيع إيقاف أي نوع من هجمات DDOS فياريت يقرأ اللي هكتبه دلوقتي و يرد يقولي إزاي هيمنعه...

                          الDDOS بيقوم بالي يقدر يقوم بيه الDOS لكن الفرق هنا كبير و مهم حاولت أرسم رسم كاريوكي بسيط لكن المنتدى مساعدنيش... المهم هي الفكرة عبارة عن التالي


                          هاكر
                          |
                          |
                          مركز تحكم عن بعد
                          |
                          |
                          جهاز مخترق جهاز مخترق جهاز مخترق جهاز مخترق
                          |
                          |
                          |
                          |
                          الضحية "السرفر المراد إغراقه"


                          بيتم تنفيذ أي عملية من عمليات الDOS اللي شرحناها فوق لكن من خلال عدد كبير اللي هما " الأجهزة المخترقة" يعني تخيل معايا إن كل جهاز مخترق بيبعت مثلا 500 كونكشن في الدقيقة و لنتخيل إنك معاك 1000 بوت نت بس " البوت نت هو الأجهزة المخترقة" يعني 500 ألف كونكشن في الدقيقة!!! هل الأي بي تيبلز هيقدر يوقفهم؟ طبعا ولا أي بي تيبلز ولا غيره يقدر يعمل أي بتنجان في الحالة دي ...


                          نيجي لأخر حاجة وهو DRDOS و اللي هو أخطرهم و على فكرة أنا شفت أكتر من مثال للهجوم دا و فعلا حاجة تحسسك بالعجز... النوع دا من الهجوم هو الأخطر و هو الأقوى و هو اللي بيخلي أي أدمن سرفر يقف محتار و مشلول لإنه ببساطة ميعرفش مين بيعمل الattack! أيوة ميعرفش مين بيعمله. يعني ممكن تلاقي مثلا المهاجم

                          nasa.gov عامل 400 كونكشن! طبعا مش هتصدق و ممكن تتخيل إنك في كابوس لكن بيحصل

                          الفكرة كلها في إن المهاجم بيقدر يعمل SPOOF للأيبيهات المهاجمة و مش بس كدا لكن دا لسة معاه مميزات الDDOS!!

                          يعني كالتالي :

                          1- معاه 20000 ألف بوت نت مثلاً..

                          2- متوزعين على كذا روتر و كذا بروفيدر...

                          3- يقدر يعمل SPOOF بحيث ميظهرش الأيبيهات بتاعتهم الحقيقية أو الhosts بتاعتهم يعني..

                          و بكدا أنت هتتعرض للتالي :

                          عليك اكتر من 20000 ألف كونكشن فجأة من كذا بروفيدر و روتر مختلف و مش هتقدر تعملهم BLOCK لإنك للأسف متعرفش هما مين أصلا!


                          ياريت يكون الصورة أتضحت في الفرق بين كل نوع..
                          My-LiFe My Blog
                          أنتظروا ثلاثة مفاجئات قريباً..
                          I'm GONE !...WITHOUT h3h3!

                          تعليق


                          • #14
                            اهلا يا صفصف انت فين ماحدش بيشوفك؟ لو اعرف كان من زمان فتحنا موضوع بالسيكيوريتي عشان تنضم لينا

                            طيب نرجع لنقاشنا... انا قلت بردي فوق انه الiptables قادر على صد اي نوع من الهجمات وقصدي اي نوع مثل ال FIN,URG,PSH,RST وحتى حزم الhttp وغيرها من اللي ذكروها الأخوان... لكن مش بالطرق اللي ممكن تستخدم بيها الهجمات مثل اللي تكلم عنها سفاح..يعني بالمنطق يا سفاح... انت لما تتكلم عن critical systems مش بتتكلم عن iptables لوحده شغال!!! يعني مش معقوله جووجل مثلا عندهم جهاز واحد عليه iptables وحاطينه برا الDMz وبيتصدى للهجمات

                            بس الفكرة انه ممكن يتصدى لمختلف الانواع من هجمات الDDoS أو الDRDOS اللي ذكرتها انت... والآن لو تكلمنا عن هجمات عن طريق اكتر من سورس واللي هي distributed يعني... والضحايا كانوا عدد كبير كما قال الأخ سفاح... والمستهدف هو critical system معروف مثل جووجل... ممكن تقوللي حيحصل ايه؟ جووجل راح يوقع؟؟ راح يتعطل سيرفرهم؟؟ أكيد لأ.. طبعا ما راح نخوض بالتفاصيل بالحلول اللي عندهم او عند غيرهم لكن بوجود Load Balancing Clusters و HA وغيرها من الClusters مش بيحصل اي شيء... طبعا كل برايفت كلستر ليه فايروول خاص فيه... وأكيد لأنه شركة بمستوى جووجل راح تستخدم سيسكو بكس فايروول اللي هو اصلا بالاساس مبني على تقنيات الiptables

                            بيكفي كلام خلص لأني تعبت من الطباعة
                            V.I.P

                            (وَاصْبِرْ فَإِنَّ اللَّهَ لَا يُضِيعُ أَجْرَ الْمُحْسِنِينَ)
                            هود 115

                            Linux is user-friendly, but it happens to be selective about its friends

                            "احذر أن تكون مثل البقية تأخذ وﻻتعطي ، فلن يكون هناك مصادر تعليمية على الشبكة، ﻻأكثر الله من أمثالهم"


                            مجتمع لينوكس العربي: وقف لله تعالى وصدقة جارية، فلا بارك الله في كل من يحاول الإساءة إليه في الظاهر أو في الخفاء...


                            تعليق


                            • #15
                              السؤال عن SYN Attack

                              ودا يتكلم عن قوقل ، يا عبيط مش هيوظفوك عندهم لو تموت

                              صحيح الموضوع ظهرت فيه معلومات ماكنا نعرفها وماخفي اعظم

                              بانتظار تفاصيل بدون تعب من الطباعه ، شغل مسجل الصوت واحكي وارفع لنا الويف




                              وكمان صفصف بقو يدلعوك يخويه ، ولا أي دلع هيركب عليك وبتوع الدردوس دول مش هيوظفوك برضو

                              سفاح بيقول ان كل ماكبرت قوة الهجوم تكبر طريقة الدفاع ، هكذا أنا فهمت

                              وسامر اعطانا مثال على كلستر حاجه ضخمه يعني تتصدى للهجوم

                              ايش يصير لو ان الضحايا اللي ذكرهم سفاح كلهم كلسترز؟

                              هيبقى الحال هو هو والا لا ؟

                              تعليق

                              يعمل...
                              X