---

Jeg har haft et par SYN Flood "angreb" de sidste par dage og aner ikke
hvad det betyder. Men jeg har prøvet at læse om det, og som jeg har
forstået det, er det så rigtigt at -

1. Angriberen sender en masse pakker til mig med en tilfældig afsender
(Spoofed IP).

2. Min computer prøver at kontakte den "falske" afsender af hver pakke,
men får sin connection-tabel fyldt op pga alle de forespørgelser, og kan
så ikke håndtere flere pakker.

---

In article <b1oarh$2shh$1@news.cybercity.dk>, SpookiePower wrote:
> Jeg har haft et par SYN Flood "angreb" de sidste par dage og aner ikke
> hvad det betyder. Men jeg har prøvet at læse om det, og som jeg har
> forstået det, er det så rigtigt at -
>
> 1. Angriberen sender en masse pakker til mig med en tilfældig afsender
> (Spoofed IP).
>
> 2. Min computer prøver at kontakte den "falske" afsender af hver pakke,
> men får sin connection-tabel fyldt op pga alle de forespørgelser, og kan
> så ikke håndtere flere pakker.
>

Det er korrekt. Du kan slippe for en del problemer ved at
genoversætte din kerne til at understøtte SYN Cookies.

Hvis du bruger et lukket styresystem, så må du anmode din
softwareleverandør om en version med SYN Cookie support.

--
To get blacklisted please mail to listme@listme.dsbl.org
Writing to the above address will blacklist your mailserver.
Hvis du skriver til ovenstående e-mail bliver din mailserver blacklistet.

---

"Povl H. Pedersen" wrote:
>
> Det er korrekt. Du kan slippe for en del problemer ved at
> genoversætte din kerne til at understøtte SYN Cookies.

SYN Cookies kan hjælpe i nogen udstrækning. Jeg har engang læst
en beskrivelse af tekniken, der frarådede brug af SYN Cookies til
at håndtere store mængder legitime forbindelser, SYN Cookies bør
kun bruges som nødforanstaltning imod en SYN flood. Hvis jeg har
forstået det rigtigt, så vil nogle features i TCP protokolen ikke
kunne benyttes af forbindelser oprettet hva. SYN Cookies. Men
hvis du rent faktisk er udsat for en SYN flood kan SYN Cookies
være din eneste mulighed for at oprette forbindelser. En bedre
løsning ville kræve ændringer af TCP protokollen.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
for(_=52;_;(_%5)||(_/=5),(_%5)&&(_-=2))putchar(_);

---

Kasper Dupont <kasperd@daimi.au.dk> writes:

> "Povl H. Pedersen" wrote:
> >
> > Det er korrekt. Du kan slippe for en del problemer ved at
> > genoversætte din kerne til at understøtte SYN Cookies.
>
> SYN Cookies kan hjælpe i nogen udstrækning. Jeg har engang læst
> en beskrivelse af tekniken, der frarådede brug af SYN Cookies til
> at håndtere store mængder legitime forbindelser, SYN Cookies bør
> kun bruges som nødforanstaltning imod en SYN flood. Hvis jeg har
> forstået det rigtigt, så vil nogle features i TCP protokolen ikke
> kunne benyttes af forbindelser oprettet hva. SYN Cookies. Men
> hvis du rent faktisk er udsat for en SYN flood kan SYN Cookies
> være din eneste mulighed for at oprette forbindelser. En bedre
> løsning ville kræve ændringer af TCP protokollen.

http://cr.yp.to/syncookies.html


/Claus A

---

Claus Albøge wrote:
>
> http://cr.yp.to/syncookies.html

Den side ser bekendt ud, det må være en af dem, jeg har læst.
Men jeg har nu engang set en side med mange flere oplysninger
om syncookies.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
for(_=52;_;(_%5)||(_/=5),(_%5)&&(_-=2))putchar(_);

---

SpookiePower wrote:
>
> Jeg har haft et par SYN Flood "angreb" de sidste par dage og aner ikke
> hvad det betyder.

Det forstår jeg ikke. Hvis du ikke aner, hvad et SYN flood angreb
er, hvordan kan du så vide, at det er det, du har været udsat for?

> Men jeg har prøvet at læse om det, og som jeg har
> forstået det, er det så rigtigt at -
>
> 1. Angriberen sender en masse pakker til mig med en tilfældig afsender
> (Spoofed IP).
>
> 2. Min computer prøver at kontakte den "falske" afsender af hver pakke,
> men får sin connection-tabel fyldt op pga alle de forespørgelser, og kan
> så ikke håndtere flere pakker.

Ja, den forklaring er i store træk korrekt.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
for(_=52;_;(_%5)||(_/=5),(_%5)&&(_-=2))putchar(_);

---

"Kasper Dupont" <kasperd@daimi.au.dk> wrote in message
news:3E404D62.40E26121@daimi.au.dk...
> SpookiePower wrote:
> >
> > Jeg har haft et par SYN Flood "angreb" de sidste par dage og aner ikke
> > hvad det betyder.
>
> Det forstår jeg ikke. Hvis du ikke aner, hvad et SYN flood angreb
> er, hvordan kan du så vide, at det er det, du har været udsat for?

Snip

Det var min firewall som skrev ordet SYN Flood. Så jeg gik ud fra at det var
rigtig.