[IRC-DEV] SYN FLOOD

Marc marc at acosis.es
Wed Jan 1 14:34:05 CET 2003


El problema no es el servidor irc, el "smurf" genera tanto caudal que se
satura el canal de entrada. Si tu tienes una fr de 2 megas y te estan
generando trafico de entrada por 20mb, que importa que protejas el
servidor de irc. Estan dañando todo tu isp, bien sea irc, bien sean
housings, bien sea servicios www.. etc.
Ademas, en muchos casos, los smurfs no van dirigidos contra la IP del
propio servidor irc, sino, directamente contra el router.
Y desgraciadamente, filtres o no filtres, el caudal te lo comes.

La unica solucion, en el caso de tener un enlace de alta capacidad que
aguante los ataques es filtrar, y en el caso de no tener dicho enlace, es
hablar con el carrier para que te filtre.
En fins, el problema, es la cantidad de herramientas que estan a mano para
una panda de criajos, que por usarlas se creen mas jeikers. Y yo estoy
convencido que no son conscientes de los daños reales que hacen con esos
ataques. Y jugar con los garbanzos de la gente no tiene nombre.
Un saludo.

> (Reenvio este mail que parece ser que el otro no ha llegado.)
> ----------------------------------------------------------------------
>
> Me dejaba una cosa.
> Ya que ahora todo el mundo está concienciado de lo efectivo que pueden
> ser esos "simples" ataques (smurfs) y visto las ganas tremendas que esa
> persona/grupo de personas tienen de hundir el hispano, no estaría mal
> que también se intentase minimizar el riesgo de un futuro posible
> ataque : SYN FLOOD.
> Y aquí el problema para defenderse, es incluso mayor.
>
> Dando un vistazo en la web del hispano, la mayoría de servers utilizan
> Linux como Sistema Operativo, e imagino que también la gran mayoría, un
> kernel 2.4.x.
> Se podría minimizar implementando "cookies" (no, no son las cookies del
> mundo html, ni galletas para comer).
> Hay otro método ideal para minimizar los efectos de los ataques a los
> castigados servidores
> IRC, aunque por supuesto difícil/casi imposible de implementar por todo
> lo que conllevaría; sería forzar a que el usuario para conectarse al
> servidor, tuviese que inicializar una conexión TCP con firma digital.
> Eso conllevaría mayor tiempo para verificar "el cliente" aunque reduce
> el riesgo del SYN FLOOD.
>
> Y bueno, no me enrollo más, porqué ni quiero ni puedo ser un consultor
> de seguridad de la red irc-hispano. Además, seguro que la gente
> encargada del hispano ya es consciente de muchas de las múltiples
> posibilidades existentes para minimizar estos ataques.
>
> Saludos.
>
> _______________________________________________
> IRC-Dev mailing list         Canal Oficial: #irc-dev en IRC-Hispano
> IRC-Dev at argo.es
> http://mailman.argo.es/listinfo/irc-dev     http://www.irc-dev.net/






More information about the IRC-Dev mailing list