2 votos

Ataques SynFlood : ¿Cuántos paquetes por segundo son posibles por Mbit?

Me gustaría saber la fórmula exacta para calcular cuántos paquetes SYN se pueden enviar por 1 Mbit de banda:

1.) ¿Cuál es el tamaño (en bytes) de un paquete SYN = 20 bytes? http://de.wikipedia.org/w/index.php?title=Datei:TCP_Header.svg&filetimestamp=20070706210301 ¿Es correcto que las primeras CINCO líneas, cada una tiene 4 Bytes = 20 Bytes en total? ¿Es además correcto que no debe haber carga útil y que un paquete que sólo contenga una cabecera es válido?

2.) ¿Es válido dividir 1Mbit / Número de Bytes-por-Syn para obtener un resultado válido? (1000 000 /8/20 ==>6250 SYN's por Segundo???)

3.) ¿O hay otros factores limitantes que reduzcan drásticamente el número de paquetes SYN por 1Mbit? (por lo que el número calculado será en la práctica mucho menor.) ¿Qué sería lo que limita este número?

4.) ¿Existe alguna herramienta "imprescindible" para proteger mi servidor de los ataques Syn (linux/debian)? He implementado algunas cosas básicas en iptables pero no sé si esto realmente ayudará... ¿Mejor sería filtrar en los servidores "Frontend/Gateway"? Qué productos comerciales ofrecen filtrado de SYN-Flood, estaría agradecido si puedes nombrar algunos productos concretos.

Gracias Jan

2voto

the-wabbit Puntos 28168
  1. su suposición es correcta en el sentido de que un paquete SYN no tiene que llevar ninguna carga útil y, para ser estrictos, ni siquiera tiene que tener ninguna opción, por lo que sólo tiene la cabecera TCP. Pero el tamaño del paquete no ascendería a 20 bytes, ya que el TCP estaría incrustado en un paquete IP, añadiendo al menos 20 bytes más de cabecera. Cualquier mundo real-SYN tendría además opciones para el MSS, el valor de la marca de tiempo y un valor ECR establecido, resultando un tamaño típico de alrededor de 60 bytes por paquete. Puedes usar tcpdump para echar un vistazo al tráfico, si te interesa: tcpdump -v -n -p tcp and 'tcp[13] & 2 == 2'
  2. No del todo. Tendrá que tener en cuenta la sobrecarga adicional del protocolo (el tamaño de la cabecera y la suma de comprobación de la capa de enlace de datos; Ethernet suele añadir otros 31 bytes, por ejemplo).
  3. Galletas SYN y Transacciones con cookies TCP han demostrado ser un mecanismo eficaz contra los ataques de inundación SYN. Implementación de Limitación de la tasa SYN si sus clientes no soportan TCPCT y sufren las limitaciones que las cookies SYN traen consigo, sólo creará otro vector de ataque DoS y no es aconsejable.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by:

X