On Wed, 18 Apr 2001, Ionut Bogdan wrote:
>
> Salut!
>
> Am o rugaminte pt cei mai vechi in domeniul asta de pe lista:
> ce inseamna SYN din urmatoarea linie din loguri (/var/log/messages)?
>
> Apr 8 06:35:23 server kernel: Packet log: input DENY eth0 PROTO=6
> 24.221.210.195:4766 1.2.3.4:53 L=60 S=0x00 I=50625 F=0x4000 T=38 SYN (#111)
SYN este un flag (un bit) din header`ul de TCP care este setat pentru
pachetele TCP care initiaza conexiunea ...
Adica, cel care vrea sa initieze conexiunea emite mai intai un pachet cu
SYN setat si, daca e ok va primi inapoi un pachet de raspuns cu SYN si
ACK setate. Asta arata ca cele doua parti au fost de acord asupra stab
conex.
Nu cred ca este vorba de SYN flooding neaparat in cazul tau, ci doar de
faptul ca o regula de ipchains la care vrei sa faca LOGGING ma marca si
flagurile pachetelor TCP (de obicei SYN) deoarece ele pot fi utile pentru
stabilirea unor reguli (de exemplu sa interzici stabilirea unor conexiuni
pe anumite porturi, pui o regula ipchains cu target REJECT sau DENY si
optiunea -y (pentru a tine sema numai de pack cu SYN setat))
In cazul tau, cineva a incercat sa se conecteze pe portul 53 si, pachetul
sau de initializare, cel cu SYN setat, a fost ignorat de kernel (ptr ca ai
pus DENY) ... e clar ca saracu n`a mai trimis si alte tipuri de pachete.
... pentru SYN flood arunca un ochi la stimabilul D. J. Bernstein pe site:
http://cr.yp.to/syncookies.html
>
> Si inca ceva: eu din firewall trebuie sa dau ACCEPT pe portul 53 numai
> serverului de
> dns de la ISP?
Banuiesc ca pe TCP ... nu pe UDP
>
> Multam mult!
> ByE!
>
Sal`tare
>
>
