Anasayfa
Galeri
Arama
Kayıt Ol
Giriş yapPC Sisteminizi SYN DoS Saldırılarına Karşı Korumak !
Oğuz Esen Resmi Fan Clup İndir-Dinle 2011 :: Bilgisayar & İnternet & Elektronik :: İşletim Sistemleri :: Windows Xp
1 sayfadaki 1 sayfası
PC Sisteminizi SYN DoS Saldırılarına Karşı Korumak !
tarafından Mc Zindan Ankara Style Paz Şub. 14, 2010 10:43 am
SYN (TCP bağlantı isteği), aşağıdaki karakteristiklere sahip çok yaygın bir DoS saldırısıdır:
1. Saldırgan Internette kullanılmayan IP adreslerini aldatma ile kullanarak (kaynak adresi olarak kullanarak - spoof) birçok SYN paketini hedef makinaya yollar.
2. Alınan her SYN pakedi için, hedef makina kaynak ayırır ve onay paketini (SYN-ACK) (SYN pakedinin yollandığı) kaynak ip adresine yollar.
3. Hedef makina, saldırı yapılan makinadan yanıt alamayacağından dolayı, SYN-ACK paketini 5 kez tekrar edecektir. Bunun tekrar süreleri, 3, 6, 12, 24 ve 48 saniyedir. Ayırdığı kaynağı boşa çıkartmadan evvel, 96 saniye sonra son bir kez SYN-ACK denemesi yapacaktır. Hepsini topladığınızda, görüldüğü gibi hedef makina ayırdığı kaynakları 3 dakika gibi bir süre tutacaktır. Bu sadece her bir SYN atağı için gerçekleşecek süredir.
Saldırgan bu tekniği tekrarlanan bir şekilde gerçekleştirdiği zaman, hedef makina ayırdığı kaynaklardan dolayı kaynak yetersizliğine kadar ulaşır ve artık yeni bir bağlantı karşılayamayacak duruma gelir. Ve bu durumda yetkili kullanıcılar bile makinaya bağlanamaz.
Sisteminizde böyle bir atakla karşı karşıya olup olmadığınızı anlamak için, komut satırında :
netstat -n -p tcp
yazmanız yeterli olacaktır. Çıkan sonuca bakıp, SYN_RECEIVED durumunda olan çıkışları kontrol edebilirsiniz. Eğer bu tip duruma sahip birçok bağlantı varsa, sisteminiz bu saldırıya maruz kalmıştır.
Sisteminizi korumak için: Ateş duvarları (firewall) tabii ki sisteminizi bu tip saldırılardan koruyacaktır, ve eğer mümkünse ateş duvarı kullanmanız gerekmektedir. Fakat, windows da hali hazırda zaten bu saldırılara karşı korunmanın bir yolu mevcuttur ve SYN isteklerini daha çabuk zaman aşımına uğratabilirsiniz. Bu özelliği çalışır duruma getirebilmek için izlenmesi gereken adımlar şunlardır:
1. Registry editörünüzü çalıştırın ve HKLM(HKEY_Local_Machine)/SYSTEM/CurrentControlSet/Services/TcpipParameters değerini bulun
2. Edit menüsünden Yeni bir DWORD değeri oluşturmayı seçin ve
3. Adını "SynAttackProtect" verin.
4. Yarattığınız anahtarın üzerinde çift tıklayın ve değerini "2" verin..
5. Registry editörünü kapatın ve makinanızı tekrar başlatın.
Burada "SynAttackProtect" değişkeninin kabul edilen başlangıç değeri 0 (sıfır) dır. Ve koruma kapalıdır.
Verilecek "1" değeri ise en yüksek TCP bağlantı değerine ulaşıldığında (Örneğin; bağlantının SYN_RECEIVED durumu TcpMaxHalfOpen olarak bilinir) ve tekrar ile karşılaşıldığında (Örneğin; TcpMaxHalfOpenRetried) SYN tekrarını ve yönlendirme bellek değerinin bekleme süresini limitler.
Eğer "SynAttackProtect" değeri "2" olursa, sonuç 1 verildiğindekine benzer olacaktır fakat SYN işlemindeki 3-yollu el sıkışma bitene kadar bekleyen bir geciktirilmiş Winsock notification içerir.
Çünki Windows "SynAttackProtect" değerini, "TcpMaxHalfOpen" ve "TcpMaxHalfOpenRetried" da tanımlanan değerlere ulaştığında çağırıp kullanacaktır. Size tavsiyemiz bu iki değeride aynı registry konumunda (HKLM-SYSTEM-CurrentControlSet-Services-Tcpip-Parameters) oluşturmanız ve değerlerini aşağıdaki gibi girmenizdir.
TcpMaxHalfOpen=100
TcpMaxHalfOpenRetried=80
1. Saldırgan Internette kullanılmayan IP adreslerini aldatma ile kullanarak (kaynak adresi olarak kullanarak - spoof) birçok SYN paketini hedef makinaya yollar.
2. Alınan her SYN pakedi için, hedef makina kaynak ayırır ve onay paketini (SYN-ACK) (SYN pakedinin yollandığı) kaynak ip adresine yollar.
3. Hedef makina, saldırı yapılan makinadan yanıt alamayacağından dolayı, SYN-ACK paketini 5 kez tekrar edecektir. Bunun tekrar süreleri, 3, 6, 12, 24 ve 48 saniyedir. Ayırdığı kaynağı boşa çıkartmadan evvel, 96 saniye sonra son bir kez SYN-ACK denemesi yapacaktır. Hepsini topladığınızda, görüldüğü gibi hedef makina ayırdığı kaynakları 3 dakika gibi bir süre tutacaktır. Bu sadece her bir SYN atağı için gerçekleşecek süredir.
Saldırgan bu tekniği tekrarlanan bir şekilde gerçekleştirdiği zaman, hedef makina ayırdığı kaynaklardan dolayı kaynak yetersizliğine kadar ulaşır ve artık yeni bir bağlantı karşılayamayacak duruma gelir. Ve bu durumda yetkili kullanıcılar bile makinaya bağlanamaz.
Sisteminizde böyle bir atakla karşı karşıya olup olmadığınızı anlamak için, komut satırında :
netstat -n -p tcp
yazmanız yeterli olacaktır. Çıkan sonuca bakıp, SYN_RECEIVED durumunda olan çıkışları kontrol edebilirsiniz. Eğer bu tip duruma sahip birçok bağlantı varsa, sisteminiz bu saldırıya maruz kalmıştır.
Sisteminizi korumak için: Ateş duvarları (firewall) tabii ki sisteminizi bu tip saldırılardan koruyacaktır, ve eğer mümkünse ateş duvarı kullanmanız gerekmektedir. Fakat, windows da hali hazırda zaten bu saldırılara karşı korunmanın bir yolu mevcuttur ve SYN isteklerini daha çabuk zaman aşımına uğratabilirsiniz. Bu özelliği çalışır duruma getirebilmek için izlenmesi gereken adımlar şunlardır:
1. Registry editörünüzü çalıştırın ve HKLM(HKEY_Local_Machine)/SYSTEM/CurrentControlSet/Services/TcpipParameters değerini bulun
2. Edit menüsünden Yeni bir DWORD değeri oluşturmayı seçin ve
3. Adını "SynAttackProtect" verin.
4. Yarattığınız anahtarın üzerinde çift tıklayın ve değerini "2" verin..
5. Registry editörünü kapatın ve makinanızı tekrar başlatın.
Burada "SynAttackProtect" değişkeninin kabul edilen başlangıç değeri 0 (sıfır) dır. Ve koruma kapalıdır.
Verilecek "1" değeri ise en yüksek TCP bağlantı değerine ulaşıldığında (Örneğin; bağlantının SYN_RECEIVED durumu TcpMaxHalfOpen olarak bilinir) ve tekrar ile karşılaşıldığında (Örneğin; TcpMaxHalfOpenRetried) SYN tekrarını ve yönlendirme bellek değerinin bekleme süresini limitler.
Eğer "SynAttackProtect" değeri "2" olursa, sonuç 1 verildiğindekine benzer olacaktır fakat SYN işlemindeki 3-yollu el sıkışma bitene kadar bekleyen bir geciktirilmiş Winsock notification içerir.
Çünki Windows "SynAttackProtect" değerini, "TcpMaxHalfOpen" ve "TcpMaxHalfOpenRetried" da tanımlanan değerlere ulaştığında çağırıp kullanacaktır. Size tavsiyemiz bu iki değeride aynı registry konumunda (HKLM-SYSTEM-CurrentControlSet-Services-Tcpip-Parameters) oluşturmanız ve değerlerini aşağıdaki gibi girmenizdir.
TcpMaxHalfOpen=100
TcpMaxHalfOpenRetried=80
Mc Zindan Ankara Style- Admin
- Mesaj Sayısı : 3104
Aktiflik Puanı : 13193
Kayıt tarihi : 26/11/09
Yaş : 31
Nerden : ankara -
Similar topics» Kalp pillerini hackerlardan korumak
» Dialer Programlarına Karşı Koruma
» Dırdıra Karşı Savunmanın Yolları...
» Aktif ve Pasif SEO Karşı Karşıya
» Google’a karşı destek rakiplerden geldi
» Dialer Programlarına Karşı Koruma
» Dırdıra Karşı Savunmanın Yolları...
» Aktif ve Pasif SEO Karşı Karşıya
» Google’a karşı destek rakiplerden geldi
Oğuz Esen Resmi Fan Clup İndir-Dinle 2011 :: Bilgisayar & İnternet & Elektronik :: İşletim Sistemleri :: Windows Xp
1 sayfadaki 1 sayfası
Bu forumun müsaadesi var:
Bu forumdaki mesajlara cevap veremezsiniz