Diskussion:SYN-Flood

Letzter Kommentar: vor 8 Jahren von LePyromane in Abschnitt backlog queue

backlog queue

Bearbeiten

Gibt es eine Quelle zu der Aussage über Serverabstürze durch eine größer werdende backlog queue? Üblicherweise ist diese doch nach oben begrenzt und solche Effekte sind entsprechend unwahrscheinlich. --LePyromane (Diskussion) 00:19, 10. Feb. 2016 (CET)Beantworten

Bessere Veranschaulichung

Bearbeiten

Gegenmaßnahmen

Bearbeiten
  • 'Begrenzung der Anzahl neuer Verbindungen von einer Ursprungsadresse pro Zeiteinheit' hilft nicht, wenn dem Angreifer IP-Spoofing möglich ist
  • 'Begrenzung der maximalen Größe von "Backlog queue" und Verbindungstabelle' hilft überhaupt gar nicht. Gerade die Tatsache, dass die Backlog queue begrenzt ist und keine neuen Verbindungen mehr angenommen werden können, wenn sie voll ist, macht den Inhalt des SYN-Flood aus. Beschränkt man die Größe der Queue also noch weiter, sind weniger Pakete nötig, um ein DoS zu produzieren.
  • intelligente Firewall - sollte evtl. auch noch ungeschrieben werden, insbesondere, sollte deutlicher gemacht werden, was das 'intelligent' bedeutet (Erkennung verdächtiger Muster?) und wie die Fehlerrate dieser Technik aussieht (Muster regulärer Nutzer unscheiden sich wenig von Angreifer, besonders wenn dieser IP spooft)

Beide Einträge habe ich deshalb gelöscht. ---Caldrin

Bearbeiten

Der angegebene Weblink http://www.grc.com/dos/drdos.htm führt momentan zur Fehlermeldung 404 Object Not Found. 195.37.224.9 16:21, 9. Jan. 2008 (CET)Beantworten