RE: [redewan] TCP SYN Flooding

Tue, 30 Jan 2001 02:57:09 -0800 

Lista de Discussão Rede Wan - http://www.networkdesigners.com.br


"access-list 120 permit tcp any any established" que usa-se
normalmente em ACL's não resolve muito. Isto pois qualquer Hacker vai
setar o Bit Ack... Somente um Router com capacidade de impelementar
Stateful ACL's resolve este problema.

-----Original Message-----
From: Sedovim, Janilse [mailto:[EMAIL PROTECTED]]
Sent: sábado, 27 de janeiro de 2001 22:54
To: Lista de Discussão Rede Wan
Subject: [redewan] TCP SYN Flooding


Lista de Discussão Rede Wan - http://www.networkdesigners.com.br

Roteadores tem ports de diagnostico que devem estar protegidos por fw
ou
desabilitados:
config term
no service udp-small-servers
no service tcp-small-servers
no service finger
no ip bootp server

Telnet na porta 19 (se não me engano e enviar pings ) de roteadores
cisco
sem as linhas acima, a cpu vai a 100% e derruba o bicho.

Também usamos em listas de acesso :
access-list 120 permit tcp any any established ( para deixar passar
somente
com tcp three-way-handshake fechado (dica num curso da PUC)
permite os ports 20, 80, 8080, 53 , 161 outros mais e
access ...    deny ip any any log


----- Original Message -----
From: Allan Moura <[EMAIL PROTECTED]>
To: Lista de Discussão Rede Wan <[EMAIL PROTECTED]>
Sent: Thursday, January 25, 2001 12:39 AM
Subject: Re: [redewan] TCP SYN Flooding


> Lista de Discussão Rede Wan - http://www.networkdesigners.com.br
>
>             Antonio,
> eu retirei estas informações do livro "Designing Network Security,
Cisco
> Press, Pagina 247, oTopico é TCP SYN Attack"
> ----- Original Message -----
> From: "Antonio Carlos Pina" <[EMAIL PROTECTED]>
> To: "Lista de Discussão Rede Wan" <[EMAIL PROTECTED]>
> Sent: Wednesday, January 24, 2001 11:42 AM
> Subject: Re: [redewan] TCP SYN Flooding
>
>
> > Lista de Discussão Rede Wan - http://www.networkdesigners.com.br
> >
> > Olá,
> >
> > Não. Isso é defesa contra SMURF attack (e alguns outros tipos de
> > amplificadores e é importante ativar). A rigor você não tem como
bloquear
> um
> > TCP flooding. Você tem como evitar que o(s) Host(s) atacado(s)
seja(m)
> > derrubado(s) (através do controle das emissões de RST, por
exemplo), mas
> se
> > o link do atacante for muito maior que o seu, não há como evitar
que o
seu
> > link vá a 100% e destrua com a qualidade de sua navegação e etc.
Só
> > bloqueando no upstream (no seu backbone) se você tiver um endereço
IP
> (mesmo
> > que seja spoof).
> >
> > Uma coisa que é possível de tentar (embora eu não saiba como fazer
no
> Cisco)
> > é bloquear pacotes com SYN+FIN setados, mas hoje em dia os scripts
de
> ataque
> > já sabem passar por cima deste truque ;-)
> >
> > Cordialmente,
> > Antonio Carlos Pina
> > Diretor de Tecnologia
> > INFOLINK Internet
> > http://www.infolink.com.br
> >
> > ----- Original Message -----
> > From: "Edinilson J. Santos" <[EMAIL PROTECTED]>
> > To: "Lista de Discussão Rede Wan" <[EMAIL PROTECTED]>
> > Sent: Tuesday, January 23, 2001 5:22 PM
> > Subject: Re: [redewan] TCP SYN Flooding
> >
> >
> > > Lista de Discussão Rede Wan - http://www.networkdesigners.com.br
> > >
> > > Acho que e o
> > > no ip directed-broadcast
> > >
> > > na interface que voce deseja.
> > >
> > >
> > > Edinilson
> > > ------------------------------------------
> > > ATINET-Afiliado UOL de Atibaia
> > > Rua Francisco R. Santos, 54 sala 3
> > > ATIBAIA/SP   Cep: 12940-000
> > > Tel: (0xx11) 4412-0876
> > > http://www.atinet.com.br
> > > ----- Original Message -----
> > > From: "reinaldo" <[EMAIL PROTECTED]>
> > > To: "Lista de Discussão Rede Wan" <[EMAIL PROTECTED]>
> > > Sent: Tuesday, January 23, 2001 1:50 PM
> > > Subject: [redewan] TCP SYN Flooding
> > >
> > >
> > > Lista de Discussão Rede Wan - http://www.networkdesigners.com.br
> > >
> > > Ola
> > > Alguem  sabe como  bloquear ataques TCP SYN Flooding
> > > Nos roteadores 2600 cisco
> > >
> > > Obrigado
> > >
> > > Reinaldo
> > >
> > >
> > >
______________________________________________________________________
> > > To unsubscribe, write to [EMAIL PROTECTED]
> > >
> > >
> > >
______________________________________________________________________
> > > To unsubscribe, write to [EMAIL PROTECTED]
> >
> >
> >
______________________________________________________________________
> > To unsubscribe, write to [EMAIL PROTECTED]
> >
>
>
>
______________________________________________________________________
> To unsubscribe, write to [EMAIL PROTECTED]
>


______________________________________________________________________
To unsubscribe, write to [EMAIL PROTECTED]


______________________________________________________________________
To unsubscribe, write to [EMAIL PROTECTED]

Responder a