# flood | firewall

## net500

ciao,

ho messo su un firewall per proteggere la mia rete che spesso viene presa d'assalto da syn flood, oltre 100megabit di traffico che mi giunge da source completamente diverse.

come posso generare io un flood di questo tipo a fini di test?

Grazie

----------

## think4urs11

I fori non-nazionali sono inglesi; moved from Networking & Security to Forum italiano (Italian).

----------

## lavish

Thanks Think4UrS11  :Wink: 

Thread spostato nuovamente dal Forum italiano (Italian) al Forum di discussione italiano.

----------

## comio

 *net500 wrote:*   

> ciao,
> 
> ho messo su un firewall per proteggere la mia rete che spesso viene presa d'assalto da syn flood, oltre 100megabit di traffico che mi giunge da source completamente diverse.
> 
> come posso generare io un flood di questo tipo a fini di test?
> ...

 

Intanto se il problema è serio puoi fare un esposto dai carabinieri.

prova ad abilitare il syn cookie.

ciao.

luigi

----------

## net500

il problema è che le sorgenti sono sempre diverse ed estere è un casino...

ma per poter simulare esattamente quello che accade non posso usare lo stesso software/script che probabilmente usano loro? cosa posso usare ?

----------

## ProT-0-TypE

ma su rete locale? a cosa ti serve la simulazione?

----------

## net500

voglio capirne di più voglio capire come lo fanno e poter con calma capire che filtrarlo.. si ovvio che i broadcast che andrei ad usare sarebbero locali...

----------

## GabrieleB

non sono broadcast, sono unicast ... e ... non lo puoi fermare ma lo puoi solo mitigare.

Mi spiego:

Su un firewall puoi definire una soglia massima di connessioni (o magari solo di syn) verso una macchina. Superata la tale soglia puoi fermare ulteriori connessioni, ma non sai se stai fermando l'ennesima connessione dell'attaccante, oppure la connessione buona di qualcuno che vuole VERAMENTE visualizzare il sito. 

Puoi abbassare la soglia in modo che il server o la linea non collassino, ma se e' un DDoS puoi fare poco.

Edit: se sono veramente dei broadcast, quelli si bloccano con poco. Per risponder(ti) alla domanda "vorrei capirne di piu'" basta che fai partire uno sniffer e vedi cosa ti stanno mandando.

----------

## net500

qualcuno sa dove posso trovare questi script che generano questi flood ?

----------

## skypjack

net500 mi sa che prima dovresti chiarirti un po' le idee su come funzionano le reti di computer...

----------

## net500

da quello che ho capito io c'è una sorgente che lancia uno script di un certo tipo spooffando l'ip che vuole attaccare, così le richieste partono con l'ip che si vuole attaccare e vanno ad una lista di N server sparsi per il mondo che gli rispondono.. ma a quel punto le risposte arrivano al vero indirizzo ip e quindi si genera una quantità di traffico mostruosa che arriva da N sorgenti sparse per il mondo.. senza poter capire chi veramente ha lanciato l'attacco.

dico bene ?

----------

## comio

 *net500 wrote:*   

> da quello che ho capito io c'è una sorgente che lancia uno script di un certo tipo spooffando l'ip che vuole attaccare, così le richieste partono con l'ip che si vuole attaccare e vanno ad una lista di N server sparsi per il mondo che gli rispondono.. ma a quel punto le risposte arrivano al vero indirizzo ip e quindi si genera una quantità di traffico mostruosa che arriva da N sorgenti sparse per il mondo.. senza poter capire chi veramente ha lanciato l'attacco.
> 
> dico bene ?

 

comunque se ti vuoi simulare l'attacco cerca su google "packet forging". Probabilmente dovrai usare le pcap & co.

ciao

luigi

----------

## Kernel78

 *net500 wrote:*   

> qualcuno sa dove posso trovare questi script che generano questi flood ?

 

Non si tratta proprio di script ma di virus o più propriamente di worm mirati a generare una rete di zombie che viene attivata nei modi più svariati, possono essere centralizzate o più in versione p2p in cui gli zombie comunicano tra di loro, in ogni caso che io sappia distribuire i sorgenti dei virus dovrebbe essere illegale ...

In ogni caso non te ne faresti molto, il modo più efficace per generare un flood è di renderlo indistinguibile da una connessione normale ...

Basta avere una rete con milioni di zombie, se ognuno di questi viene istruito per collegarsi alla tua rete vieni facilmente inondato senza poter distinguere una richiesta di connessione lecita da una proveniente da uno zombie visto che tecnicamente possono anche essere identiche.

L'unica cosa che puoi fare è proteggere la tua rete affinché non crolli sotto l'inondazione mettendo una soglia alla quantità di richieste che può accettare ma così facendo diventa statisticamente probabile rifiutare una parte delle richieste lecite.

----------

## federico

Non vorrei essere maligno ma un indirizzo di rete privato che viene preso d'assalto da syn flood, suona molto come irc war da script kiddie... Il tuo problema in quel caso lo risolvi facendo meno il galletto su irc !!

 *comio wrote:*   

> 
> 
> Intanto se il problema è serio puoi fare un esposto dai carabinieri.
> 
> 

 

Hai visto troppi film !!!

Quando sono stato alla stazione per denunciare un furto subito alla mia auto quello appena prima di me voleva denunciare spam, e gli hanno riso in faccia, ma veramente!!  :Smile: 

----------

## Deus Ex

 *federico wrote:*   

> 
> 
> Quando sono stato alla stazione per denunciare un furto subito alla mia auto quello appena prima di me voleva denunciare spam, e gli hanno riso in faccia, ma veramente!! 

 

Se gli hanno riso in faccia, e non hanno raccolto, o lo hanno dissuaso dal farla, la denuncia, quanto meno si può contestare a quei signori il reato di omissione di atti d'ufficio.

Che poi sia fattibile perseguire uno spammer è un po' più difficile, ma dipende comunque dal caso.

----------

## Cazzantonio

Per proteggersi dai syn-flood non può essere utile una regola tipo questa?

```
iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 4 -j ACCEPT

iptables -A INPUT -p tcp --syn -j DROP
```

Lo dico da ignorante visto che non mi sono mai dovuto proteggere contro una cosa del genere (e so solo a grandi linee cosa sia)

----------

## skypjack

Il syn-flood è di fatto una tecnica in cui un attaccante invia una grossa quantità di messaggi TCP con flag SYN attivato il che richiede l'apertura di una connessione, ma dopo la risposta del server l'attaccante non invia altro (dovrebbe invece restituire un ACK). Questo a grandi linee, ovvio, per dare un'idea. Il problema risiede nel fatto che il server alloca in memoria strutture necessarie a gestire la comunicazione che sta per aprirsi e queste restano per un determinato lasso di tempo caricate. Se io riesco a sovraccaricare il server di richieste interrotte, come appena detto, questo saturerà la memoria occupandola con tali strutture e inizierà a rifiutare le connessioni in arrivo perchè non avrà spazio e modo di gestirle (ovviamente, intendo le comunicazioni "buone").

Questo giusto per dare un'idea, come detto...

Per inciso, esiste una teoria che aggira questo problema, ovvero la tecnica del syn-cookie, ma introduce tutta un'altra serie di aspetti e problematiche che la rendono un pò di nicchia e sostenuta non da molti (i purtisti gridano allo scandalo!).

----------

## Kernel78

 *Cazzantonio wrote:*   

> Per proteggersi dai syn-flood non può essere utile una regola tipo questa?
> 
> ```
> iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 4 -j ACCEPT
> 
> ...

 

Si, queste regole ti proteggono da un syn flood.

Il problema è che limiti la quantità di connessioni in entrata senza distinguere i syn appartenenti al flood da quelli provenienti da utenti legittimi che cercano di accedere.

Il risultato per un utente esterno che cerca di accedere è identico, la macchina risulterà inaccessibile ... quindi il DoS avrà raggiunto il suo obiettivo.

----------

## Cazzantonio

grazie per il chiarimento   :Smile: 

----------

## skypjack

 *Cazzantonio wrote:*   

> grazie per il chiarimento  

 

De nada, compaesano!!  :Wink: 

----------

## djinnZ

Problema simile, (a me viene intasata sistematicamente la connessione dalle ore 14 alle 18, solo nei giorni lavorativi of course), e sono ancora alla ricerca dell'imbecille.

@federico,deusEX:

Oltre all'omissione di atti d'ufficio c'è anche la violata consegna (da 7 anni a salire), condotta indecorosa e via dicendo...

ma non hanno tutti i torti, non è loro competenza, loro intervengono solo per disturbo telefonico e aggressioni.

Se è spam cartaceo si deve fare istanza al garante (con liquidazione semiautomatica delle spese)

se è roba che riguarda le telecomunicazioni (fatta eccezione per il caso di interruzione di pubblico servizio) la faccenda è di competenza della polizia postale.

Sbagliare a rivolgersi agli omini in nero piuttosto che a quelli in blu od a quelli in grigio (secondo i casi, ovviamente) è il primo modo per non risolvere nulla od attendere tempi biblici, soprattutto se il reato non è perseguibile d'ufficio.

Non sono contento di come stiano le cose e attendo da anni che una denuncia presentata personalmente via internet abbia seguito o che almeno mi dicano se è stata archiviata, persa o che altro. Ma mi è stato spiegato che poichè anche se spam rientrava nel reato di procurato allarme che è di competenza della digos o dei carabinieri piuttosto che della postale con ogni probabilità è dispersa nel limbo.

----------

## alexbgl

Mi confermate che anche questo funziona discretamente:

```

iptables -A INPUT -i eth1 -m recent --update --hitcount 10 --seconds 10 -j DROP

iptables -A INPUT -i eth1 -p tcp -m state --state NEW -m recent --set -j ACCEPT

```

----------

## federico

@djinnZ : interessante quello che hai scoperto !!!

----------

