Yazar admin

SYN Saldırılar Hakkında:

SYN (TCP bağlantı isteği), aşağıdaki karakteristiklere sahip çok yaygın bir DoS saldırısıdır:

1-) Saldırgan Internette kullanılmayan IP adreslerini aldatma ilekullanarak (kaynak adresi olarak kullanarak - spoof) birçok SYNpaketini hedef makinaya yollar

2-) Alının her SYN pakedi için, hedef makina kaynak ayırır ve onaypaketini (SYN-ACK) (SYN pakedinin yollandığı) kaynak ip adresine yollar

3-) Hedef makina, saldırı yapılan makinadan yanıt alamayacağındandolayı, SYN-ACK paketini 5 kez tekrar edecektir. Bunun tekrar süreleri,3, 6, 12, 24 ve 48 saniyedir. Ayırdığı kaynağı boşa çıkartmadan evvel,96 saniye sonra son bir kez SYN-ACK denemesi yapacaktır. Hepsinitopladığınızda, görüldüğü gibi hedef makina ayırdığı kaynakları 3dakika gibi bir süre tutacaktır. Bu sadece her bir SYN atağı içingerçekleşecek süredir.

Saldırgan bu tekniği tekrarlanan bir şekilde gerçekleştirdiği zaman,hedef makina ayırdığı kaynaklardan dolayı kaynak yetersizliğine kadarulaşır ve artık yeni bir bağlantı karşılayamayacak duruma gelir. Ve budurumda yetkili kullanıcılar bile makinaya bağlanamaz.

Sisteminizde böyle bir atakla karşı karşıya olup olmadığınızı anlamak için, komut satırında :

netstat -n -p tcp yazmanız yeterli olacaktır.

Çıkan sonuca bakıp, SYN_RECEIVED durumunda olan çıkışları kontroledebilirsiniz. Eğer bu tip duruma sahip birçok bağlantı varsa,sisteminiz bu saldrıya maruz kalmıştır.

Sisteminizi korumak için:
Ateş duvarları tabii ki sisteminizi bu tip saldırılardan koruyacaktır,ve eğer mümkünse ateş duvarı kullanmanız gerekmektedir. Fakat, windowsda hali hazırda zaten bu saldırılara karşı korunmanın bir yolumevcuttur ve SYN isteklerini daha çabuk zaman aşımına uğratabilirsiniz.Bu özelliği çalışır duruma getirebilmek için izlenmesi gereken adımlarşunlardır:

1-) Registry editörünüzü çalıştırın ve HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters değerini bulun

2-) Edit menüsünden Yeni bir DWORD değeri oluşturmayı seçin ve

3-) Adını "SynAttackProtect" verin.

4-) Oluşturduğunuz  anahtarın üzerinde çift tıklayın ve değerini "2" verin

5-) Registry editörünü kapatın ve makinanızı tekrar başlatın

Burada "SynAttackProtect" değişkeninin kabul edilen başlangıç değeri 0 (sıfır) dır. Ve koruma kapalıdır.
Verilecek "1" değeri ise en yüksek TCP bağlantı değerine ulaşıldığında(Örneğin; bağlantının SYN_RECEIVED durumu TcpMaxHalfOpen olarakbilinir) ve tekrar ile karşılaşıldığında (Örneğin;TcpMaxHalfOpenRetried) SYN tekrarını ve yönlendirme bellek değerininbekleme süresini limitler.

Eğer "SynAttackProtect" değeri "2" olursa, sonuç 1 verildiğindekinebenzer olacaktır fakat SYN işlemindeki 3-yollu el sıkışma bitene kadarbekleyen bir geciktirilmiş Winsock notification içerir.

Çünki Windows "SynAttackProtect" değerini, "TcpMaxHalfOpen" ve"TcpMaxHalfOpenRetried" da tanımlanan değerlere ulaştığında çağırıpkullanacaktır. Size tavsiyemiz bu iki değeride aynı registry konumunda(HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters) oluşturmanızve değerlerini aşağıdaki gibi girmenizdir.

TcpMaxHalfOpen=100
TcpMaxHalfOpenRetried=80

Kaynak: http://www.mike-tech.com/article.php?gif=misc&article=239

Türkçeleştiren: Tansel AKYÜZ

alıntı= e-hack.org