Prevenzione degli attacchi TCP syn

2

Sono nuovo per l'implementazione della sicurezza delle informazioni. Tuttavia sto provando ad indurire un server Windows. Sto usando regedit per creare parametri come SynAttackProtect, TcpMaxHalfOpen e TcpMaxHalfOpenRetried e impostare i valori su di essi. Ma non sono sicuro che questo sia un buon modo per farlo. Come in ho navigato in questa posizione HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ TcpIp \ Parameters e aggiungendo manualmente questi parametri. Consigliamo gentilmente se questo è ok

    
posta shiva 11.10.2013 - 16:36
fonte

1 risposta

2

Non è possibile impedire completamente gli attacchi flood TCP SYN; il meglio che puoi fare è mitigarli. Queste impostazioni del Registro di sistema sono un'opzione valida e potrebbero essere utili se si è in presenza di un attacco di alluvione SYN debole o lieve. Funzionano limitando semplicemente la durata e la quantità di connessioni semiaperte quando si verificano i sintomi di un'inondazione SYN. In altre parole, rende il server meno paziente nell'attesa che il client completi l'handshake a tre vie (cioè completa la connessione).

Ecco alcune altre difese comuni per aiutare a mitigare gli attacchi di alluvione SYN:

  1. Aumentare le risorse del server (ad esempio aggiungere più memoria o più server per il bilanciamento del carico)

  2. Se filtrare gli indirizzi IP è un'opzione, questo sarebbe l'approccio più efficace. Ad esempio, se si conosce il proprio sito Web verrà utilizzato solo da un determinato intervallo di indirizzi IP (o posizione geografica), è possibile filtrare gli indirizzi IP autorizzati a connettersi. Si potrebbe anche utilizzare una lista bianca di indirizzi IP di client legittimi noti per dare maggiore priorità a tali connessioni.

  3. Potresti anche controllare SYN Cookies che è un metodo di mitigazione creativo che potrebbe essere d'aiuto.

Per ulteriori letture su questi metodi di mitigazione dell'alluvione SYN, suggerisco di leggere sezione 3 di RFC 4987

Spero che questo aiuti!

    
risposta data 12.10.2013 - 01:03
fonte

Leggi altre domande sui tag