SYN-Attack

Kunne man oprette et LAN netværk med to computere, hvor du så giver hijacker en adresse som du ved ikke er brugt på netværket. Derefter opretter du forbindelse til den anden computer med en SYN. Computeren vil så prøve at sende en SYN ACK tilbage til den computer (som ikke er der). Resten kender du jo selv.

Når du siger SYN-attack, tænker du så på et SYN flood DOS angreb?

Hey. Jeg er igang med at lave et projekt om SYN-Attack til efter ferien. Jeg ville høre om nogle er jer ved hvordan man kan teste det på et eller andet. Jeg ved godt hvad det er og har skrevet det meste af fremlæggelsen "øvet mig på den" Jeg manger derfor bare et produkt som så skal være det her program, eller hvad man nu bruger. Ved ikke om dette er den rigtige fane for sådan noget, men ved ikk hvor jeg ellers skulle lægge den.

Tak på forhånd og god Jul (:

Der er ikke noget "program" som er modtagelig for dette angreb, da det er operativsystemet, som man angriber. Du skal bare have et eller andet til at lytte på den port, som du angriber. Programmet får ikke noget at vide om de pakker, som kommer, men operativsystemet bruger ressourcer på at håndtere dem.

Post slettet.

Når du siger SYN-attack, tænker du så på et SYN flood DOS angreb?

Ja, Syn Flood (:
Men hvordan gør man det..?

Kunne man oprette et LAN netværk med to computere, hvor du så giver hijacker en adresse som du ved ikke er brugt på netværket. Derefter opretter du forbindelse til den anden computer med en SYN. Computeren vil så prøve at sende en SYN ACK tilbage til den computer (som ikke er der). Resten kender du jo selv.

Faktisk bør angriberen spoofe en nonroutable adresse, da det ellers vil være default gateway, som modtager SYN ACK pakken, og hvis den er konfigureret korrekt (default), vil den sende en RST pakke tilbage.

Men sæt en maskine op med en Apache web server og angrib løs på den...prøv evt. med en virtuel maskine.

Operativsystemerne kan forsvare sig mod SYN angreb i dag, men dette forsvar kan man slå fra. I Linux gør du følgende:

$ sudo echo 0 > /proc/sys/net/ipv4/tcp_syncookies

...så burde du kunne angribe løs.

Her er lige et citat fra http://www.securityfocus.com/infocus/1711

enable /proc/sys/net/ipv4/tcp_syncookies
    A very popular denial of service attack involves a cracker sending many (possibly forged) SYN packets to your server, but never completing the TCP three way handshake. This quickly uses up slots in the kernel's half open queue, preventing legitimate connections from succeeding. Since a connection does not need to be completed, there need be no resources used on the attacking machine, so this is easy to perform and maintain.

    If the tcp_syncookies variable is set (only available if your kernel was compiled with CONFIG_SYNCOOKIES) then the kernel handles TCP SYN packets normally until the queue is full, at which point the SYN cookie functionality kicks in.

    SYN cookies work by not using a SYN queue at all. Instead the kernel will reply to any SYN packet with a SYN|ACK as normal, but it will present a specially-crafted TCP sequence number that encodes the source and destination IP address and port number and the time the packet was sent. An attacker performing the SYN flood would never have gotten this packet at all if they're spoofing, so they wouldn't respond. A legitimate connection attempt would send the third packet of the three way handshake which includes this sequence number, and the server can verify that it must be in response to a valid SYN cookie and allows the connection, even though there is no corresponding entry in the SYN queue.

    Enabling SYN cookies is a very simple way to defeat SYN flood attacks while using only a bit more CPU time for the cookie creation and verification. Since the alternative is to reject all incoming connections, enabling SYN cookies is an obvious choice. For more information about the inner workings of SYN cookies, see http://cr.yp.to/syncookies.html 

Kunne man oprette et LAN netværk med to computere, hvor du så giver hijacker en adresse som du ved ikke er brugt på netværket. Derefter opretter du forbindelse til den anden computer med en SYN. Computeren vil så prøve at sende en SYN ACK tilbage til den computer (som ikke er der). Resten kender du jo selv.

Faktisk bør angriberen spoofe en nonroutable adresse, da det ellers vil være default gateway, som modtager SYN ACK pakken, og hvis den er konfigureret korrekt (default), vil den sende en RST pakke tilbage.

Men sæt en maskine op med en Apache web server og angrib løs på den...prøv evt. med en virtuel maskine.

Operativsystemerne kan forsvare sig mod SYN angreb i dag, men dette forsvar kan man slå fra. I Linux gør du følgende:

Kode 

$ sudo echo 0 > /proc/sys/net/ipv4/tcp_syncookies

...så burde du kunne angribe løs.

Her er lige et citat fra http://www.securityfocus.com/infocus/1711

Kode 

enable /proc/sys/net/ipv4/tcp_syncookies
    A very popular denial of service attack involves a cracker sending many (possibly forged) SYN packets to your server, but never completing the TCP three way handshake. This quickly uses up slots in the kernel's half open queue, preventing legitimate connections from succeeding. Since a connection does not need to be completed, there need be no resources used on the attacking machine, so this is easy to perform and maintain.

    If the tcp_syncookies variable is set (only available if your kernel was compiled with CONFIG_SYNCOOKIES) then the kernel handles TCP SYN packets normally until the queue is full, at which point the SYN cookie functionality kicks in.

    SYN cookies work by not using a SYN queue at all. Instead the kernel will reply to any SYN packet with a SYN|ACK as normal, but it will present a specially-crafted TCP sequence number that encodes the source and destination IP address and port number and the time the packet was sent. An attacker performing the SYN flood would never have gotten this packet at all if they're spoofing, so they wouldn't respond. A legitimate connection attempt would send the third packet of the three way handshake which includes this sequence number, and the server can verify that it must be in response to a valid SYN cookie and allows the connection, even though there is no corresponding entry in the SYN queue.

    Enabling SYN cookies is a very simple way to defeat SYN flood attacks while using only a bit more CPU time for the cookie creation and verification. Since the alternative is to reject all incoming connections, enabling SYN cookies is an obvious choice. For more information about the inner workings of SYN cookies, see http://cr.yp.to/syncookies.html 

Ehh okay. Men kan man gøre det fra en windows maskine? og hvordan skal man så gøre. Har ikke helt forstået hvor man sætter ind og alt sådan noget ^^

Ehh okay. Men kan man gøre det fra en windows maskine? og hvordan skal man så gøre. Har ikke helt forstået hvor man sætter ind og alt sådan noget ^^

Ja, well...man kan, men det er temmelig svært, for fra XP SP2 og fremefter har Microsoft valgt at fjerne muligheden for at sende TCP data via en raw socket, for det kunne jo kun bruges til ren ondskab. Man kan så alligevel, men man skal hooke ind i driverkode, så jeg ville vælge en Linux maskine til angrebet.

Du er nødt til at bygge din TCP pakke selv, så en raw TCP socket er minimum, men hvis du også vil spoofe afsenderadressen skal du også bygge IP delen selv...og beregne checksums og så'n, men det er en god øvelse i IP teknologi, så held og lykke med det :-)

Ehh okay. Men kan man gøre det fra en windows maskine? og hvordan skal man så gøre. Har ikke helt forstået hvor man sætter ind og alt sådan noget ^^

Ja, well...man kan, men det er temmelig svært, for fra XP SP2 og fremefter har Microsoft valgt at fjerne muligheden for at sende TCP data via en raw socket, for det kunne jo kun bruges til ren ondskab. Man kan så alligevel, men man skal hooke ind i driverkode, så jeg ville vælge en Linux maskine til angrebet.

Du er nødt til at bygge din TCP pakke selv, så en raw TCP socket er minimum, men hvis du også vil spoofe afsenderadressen skal du også bygge IP delen selv...og beregne checksums og så'n, men det er en god øvelse i IP teknologi, så held og lykke med det :-)

Tak Så må jeg jo prøve at lave noget dual-boot med linux og teste det der.
Men hvis jeg har forstået det helt korrekt, fungerer det så sådan her:

Program:
TCP sender en masse data til modtager / raw packets
Du snyder offered til at tro du sender fra 423.14.23.4 ip altså, en ip som ikke findes
Den prøver derfor at sende den tilbage men den kan ikke. Den kan ikke finde ud af hvor den skal hen og bliver forvirret.
Hvis der er tilstrækkelig nok data som bliver sendt på samme tid, går serveren ned / restarter? (:

Ehh okay. Men kan man gøre det fra en windows maskine? og hvordan skal man så gøre. Har ikke helt forstået hvor man sætter ind og alt sådan noget ^^

Ja, well...man kan, men det er temmelig svært, for fra XP SP2 og fremefter har Microsoft valgt at fjerne muligheden for at sende TCP data via en raw socket, for det kunne jo kun bruges til ren ondskab. Man kan så alligevel, men man skal hooke ind i driverkode, så jeg ville vælge en Linux maskine til angrebet.

Du er nødt til at bygge din TCP pakke selv, så en raw TCP socket er minimum, men hvis du også vil spoofe afsenderadressen skal du også bygge IP delen selv...og beregne checksums og så'n, men det er en god øvelse i IP teknologi, så held og lykke med det :-)

Tak Så må jeg jo prøve at lave noget dual-boot med linux og teste det der.
Men hvis jeg har forstået det helt korrekt, fungerer det så sådan her:

Program:
TCP sender en masse data til modtager / raw packets
Du snyder offered til at tro du sender fra 423.14.23.4 ip altså, en ip som ikke findes
Den prøver derfor at sende den tilbage men den kan ikke. Den kan ikke finde ud af hvor den skal hen og bliver forvirret.
Hvis der er tilstrækkelig nok data som bliver sendt på samme tid, går serveren ned / restarter? (:

Ikke helt.

1) Du sender en TCP SYN pakke til offeret fra en nonroutable adresse.
2) Offeret modtager TCP SYN pakken og bruger noget hukommelse og andre ressourcer i kernen på at vedligeholde informationer om denne nye forbindelse. Derefter sender den en TCP SYN-ACK pakke tilbage.
3) Da afsenderadressen ikke kan rutes bliver denne pakke aldrig leveret og offeret ved intet.
4) Efter lang tid opgiver offeret at oprette den fulde forbindelse og nedlægger informationerne, som blev oprettet i skridt 2.

Men hvis du nu gentager skridt 1 en million gange, så kan du få offeret til at bruge alle sine ressourcer på at vedligeholde informationer om halve forbindelser, og så kan de almindelige brugere ikke blive serviceret.