Port 80 gefloodet
- Themenstarter ulf123
- Beginndatum
Dennis Wronka
Soulcollector
Ich hab mich noch nicht naeher damit beschaeftigt wie sich das auf die Systemperformance auswirkt. Aber falls bei Dir die entsprechende Kernel-Option aktiviert ist koenntest Du anstelle von DROP auch mal MIRROR probieren. 
Dadurch wirfst Du den Traffic zurueck.
Wie gesagt, ich weiss aber nicht genau wie sich das auf die Performance auswirkt. Dafuer hab ich damit bislang zu wenig rumgespielt.
Dadurch wirfst Du den Traffic zurueck.Wie gesagt, ich weiss aber nicht genau wie sich das auf die Performance auswirkt. Dafuer hab ich damit bislang zu wenig rumgespielt.
der Einfachheit halber kopiere ich Dir den wiki-Eintrag rein, es ist nicht ganz einfach ein
"labrea" zum Laufen zu kriegen, am Besten wäre ein eigener rechner hierfür. Ich habe auch nur einen Root-Server und da funktioniert es wunnebar:
~~~~~~~
Der Teergruben-Computer lauscht auf unbeantwortete ARP-Requests (normalerweise eine unbenutze Adresse) und beantwortet Anfragen an diese, d. h., er täuscht vor, die gesuchte IP-Adresse zu besitzen. Wenn er daraufhin das initialisierende SYN-Paket des Angreifers (häufig ein Portscanner) erhält, sendet er nur noch eine SYN/ACK-Antwort, danach nichts mehr. Für diese Verbindung wird kein Socket geöffent und keine "echte" Verbindung eingerichtet. Die Teergrube speichert keine Daten der Verbindung nach dem gesendeten SYN/ACK. Somit braucht die Teegrube keinerlei eigene Ressourcen wie Rechenzeit, Sockets, Speicher oder Netzwerkbandbreite.
Der Computer der Remote-Seite (der "Angreifer") sendet daraufhin sein ACK-Paket, um den für den Verbindungsaufbau nötigen 3-way-handshake abzuschließen. Schon dieses Paket wird von der Teergrube ignoriert, da aus Sicht des "Angreifers" bereits eine etablierte Verbindung vorliegt. Er beginnt seine Daten zu senden, die jedoch niemanden erreichen.
Da im TCP eine Bestätigung für jedes Paket vorgesehen ist, wird die Verbindung in der Regel nach einer Zeit durch ein Time-out unterbrochen. Bis dahin verharrt die sendende Maschine jedoch in einem Zustand, der darauf ausgelegt ist, die Verbindung zu einem potentiellen tatsächlichen Kommunikationspartner nach aller Möglichkeit aufrecht zu erhalten. Diese Kommunikation kostet Zeit und Rechenleistung, je nach Art des Netzwerkstacks (Anzahl der Wiederholungen, back-off, retransmit, usw.) oft sogar sehr viel.
~~~~~~~~~~~
... und das funktioniert richtig prima.
"labrea" zum Laufen zu kriegen, am Besten wäre ein eigener rechner hierfür. Ich habe auch nur einen Root-Server und da funktioniert es wunnebar:
~~~~~~~
Der Teergruben-Computer lauscht auf unbeantwortete ARP-Requests (normalerweise eine unbenutze Adresse) und beantwortet Anfragen an diese, d. h., er täuscht vor, die gesuchte IP-Adresse zu besitzen. Wenn er daraufhin das initialisierende SYN-Paket des Angreifers (häufig ein Portscanner) erhält, sendet er nur noch eine SYN/ACK-Antwort, danach nichts mehr. Für diese Verbindung wird kein Socket geöffent und keine "echte" Verbindung eingerichtet. Die Teergrube speichert keine Daten der Verbindung nach dem gesendeten SYN/ACK. Somit braucht die Teegrube keinerlei eigene Ressourcen wie Rechenzeit, Sockets, Speicher oder Netzwerkbandbreite.
Der Computer der Remote-Seite (der "Angreifer") sendet daraufhin sein ACK-Paket, um den für den Verbindungsaufbau nötigen 3-way-handshake abzuschließen. Schon dieses Paket wird von der Teergrube ignoriert, da aus Sicht des "Angreifers" bereits eine etablierte Verbindung vorliegt. Er beginnt seine Daten zu senden, die jedoch niemanden erreichen.
Da im TCP eine Bestätigung für jedes Paket vorgesehen ist, wird die Verbindung in der Regel nach einer Zeit durch ein Time-out unterbrochen. Bis dahin verharrt die sendende Maschine jedoch in einem Zustand, der darauf ausgelegt ist, die Verbindung zu einem potentiellen tatsächlichen Kommunikationspartner nach aller Möglichkeit aufrecht zu erhalten. Diese Kommunikation kostet Zeit und Rechenleistung, je nach Art des Netzwerkstacks (Anzahl der Wiederholungen, back-off, retransmit, usw.) oft sogar sehr viel.
~~~~~~~~~~~
... und das funktioniert richtig prima.
was anderes hab ich leider nicht:
http://sourceforge.net/projects/labrea
http://sourceforge.net/projects/labrea
