Hallo,

ich hab jetzt mal ne Frage recht theoretischer Natur. Also, wie man weiß, gibt es da so gewisse DoS-Attacken wie den SYN-flood. Als Admin scheint es meine Pflicht zu sein, mich mal etwas genauer darüber zu informieren.

Wenn im in der Kernel-Config unter Network-Options den TCP syncookie support anschau, und dann in diversen Foren lese, für was das gut sein soll, da habe ich so meine Bedenken, ob ich das wirklich brauche.

Nach der Info aus den Kernel-Dokus steht da


SYN cookies provide protection against this type of attack. If you say Y here, the TCP/IP stack will use a cryptographic challenge protocol known as "SYN cookies" to enable legitimate users to continue to connect, even when your machine is under attack.

Soll das heißen, das die Maschine mir dann noch gestattet mich anzumelden, wenn sie geflooded wird? Ist das alles, was die Funktion macht? Oder schützt sie generell davor, das SYN-flooding bei meinem Router Wirkung zeigt? Die einen sagen dies, die andern das. Und ich hab keinen Plan. Bitte klärt mich auf.

Danke
Myst

hi,

soweit, wie ich es immer verstanden habe, gibt es einen schwellwert für syn-pakete. sobald der (von derselben adresse) überschritten ist, wird keine weitere verbindung mehr reserviert (speicher !), sondern es wird ihm ein syncookie geschickt. in diesem cookie ist ein hash oder md5-wert o.ä. enthalten, mit dem sich der (vermeintliche) angreifer identifizieren müßte, um dennoch die verbindung aufbauen zu können.

war ziemlich grob und hoffentlich soweit richtig.

gruß,
matze