Pelo que lembro do TCP intercept, havia um efeito colateral em relacao aos "options" de uma conexao TCP.
(Exemplo, varias extensoes de TCP suportadas por servidores "atras" do TCP intercept nao iriam funcionar).
Alguem tem mais algum detalhe (ou mesmo um trace de uma conexao TCP "spoofed" pelo TCP intercept ?).
[], <O_O>
> -----Original Message-----
> From: Edinilson J. Santos [mailto:[EMAIL PROTECTED]]
> Sent: Tuesday, January 30, 2001 6:21 AM
> To: Lista de Discusso Rede Wan
> Subject: Re: [redewan] TCP SYN Flooding
>
>
> Lista de Discuss�o Rede Wan - http://www.networkdesigners.com.br
>
> Dei uma olhada na documentacao do Cisco, conforme indicado
> pelo sr. Allan, e
> fala sobre o comando ip tcp intercept.
> Tenho o IOS 12.0(5) e nao possui esse comando. Pra variar
> esse comando so
> esta disponivel em algum outro subset da cisco, que deve ser
> comprado a
> parte?
> Outro detalhe: segundo o pessoal da Embratel me informou, isso ja esta
> bloqueado entre os clientes Embratel.
> De redes internacionais, voce deve aciona-los no momento do
> ataque para um
> possivel bloqueio.
>
> Obrigado
>
> Edinilson
>
> ------------------------------------------
> ATINET-Afiliado UOL de Atibaia
> Rua Francisco R. Santos, 54 sala 3
> ATIBAIA/SP Cep: 12940-000
> Tel: (0xx11) 4412-0876
> http://www.atinet.com.br
> ----- Original Message -----
> From: "Allan Moura" <[EMAIL PROTECTED]>
> To: "Lista de Discuss�o Rede Wan" <[EMAIL PROTECTED]>
> Sent: Monday, January 29, 2001 10:15 PM
> Subject: Re: [redewan] TCP SYN Flooding
>
>
> Lista de Discuss�o Rede Wan - http://www.networkdesigners.com.br
>
> Concordo com vc Antonio, hoje em dia a maioria
> dos ataques de
> DDOS se iniciam de fora para c�, e s�o distribuidos uma hora
> vem da Europa
> outra dos E.U.A, por isso eu disse sobre a interass�o com os
> backbones, a
> provedora pode controlar isso perfeitamente nas pontas antes
> de chegar na
> vitima, inclusive j� pude presenciar a a��o de alguns
> provedores de backbone
> no combate a esses ataques que surtiram grande efeito,
> minimizando o mesmo.
> Quanto a derrubar o host, confesso a vc que n�o � muito
> dificil, tem varias
> outras alternativas alem de ficar mandando pacotes com flag
> SYN, mas o nosso
> foco aqui � sobre DDOS, ent�o concordo plenamente com vc.
>
> Allan Moura
>
> ----- Original Message -----
> From: "Antonio Carlos Pina" <[EMAIL PROTECTED]>
> To: "Lista de Discuss�o Rede Wan" <[EMAIL PROTECTED]>
> Sent: Friday, January 26, 2001 12:53 PM
> Subject: Re: [redewan] TCP SYN Flooding
>
>
> > Lista de Discuss�o Rede Wan - http://www.networkdesigners.com.br
> >
> > Prezado Allan,
> >
> > Eu conhe�o estes escritos e voc� tem toda a raz�o. O
> problema � que aqui
> no
> > Brasil, devido ao custo de backbone ser muito alto, � muito
> comum todos
> n�s
> > trabalharmos com links menores, como 4 e 8 MB/s, ao inv�s
> de uma situa��o
> > entry-level de 34MB/s nos EUA. Da� dependendo de onde o
> Flood se origina,
> o
> > problema maior N�O � derrubar seu(s) Host(s) e sim o seu link ficar
> > saturado ! Note que um flood de 4MB/s de Syn n�o � suficiente para
> derrubar
> > a maioria dos Hosts, com qualquer SO, mas � o suficiente
> para lotar seu
> link
> > e acabar com seu acesso a Internet (neste caso, agindo como
> um ataque DOS
> > comum, que poderia ser icmp ou udp).
> >
> > A melhor ferramenta, pela nossa experi�ncia, continua sendo
> detectar o
> > ataque e interagir com os backbones. Quando tivermos muitos
> OC3 por aqui
> > acho que a preocupa��o maior ser� a sa�de dos hosts ;-))
> >
> > Cordialmente,
> > Antonio Carlos Pina
> > Diretor de Tecnologia
> > INFOLINK Internet
> > http://www.infolink.com.br
> >
> > ----- Original Message -----
> > From: "Allan Moura" <[EMAIL PROTECTED]>
> > To: "Lista de Discuss�o Rede Wan" <[EMAIL PROTECTED]>
> > Sent: Thursday, January 25, 2001 12:57 AM
> > Subject: Re: [redewan] TCP SYN Flooding
> >
> >
> > > Lista de Discuss�o Rede Wan - http://www.networkdesigners.com.br
> > >
> > > Ops, Antonio me desculpe a resposta anterior que eu havia
> mandando
> > > n�o era para vc. Apenas para maior conhecimento segue
> aonde pode obter
> > > maiores informa��es sobre os comandos que eu havia
> falado, "Designing
> > > Network Security, Cisco Press, Pagina 247, oTopico � TCP
> SYN Attack",
> > "Cisco
> > > IOS 12.0 Network Security, Pagina 355" quanto a problemas
> de IP Spoofing
> > > recomendo o uso do "IP Verify" ele minimiza muito este
> problema. O resto
> �
> > > como eu j� havia falado uma boa ajuda do seu provedor de backbone.
> > >
> > >
> > > Allan moura
> > >
> > >
> > > ----- Original Message -----
> > > From: "Antonio Carlos Pina" <[EMAIL PROTECTED]>
> > > To: "Lista de Discuss�o Rede Wan" <[EMAIL PROTECTED]>
> > > Sent: Wednesday, January 24, 2001 11:42 AM
> > > Subject: Re: [redewan] TCP SYN Flooding
> > >
> > >
> > > > Lista de Discuss�o Rede Wan - http://www.networkdesigners.com.br
> > > >
> > > > Ol�,
> > > >
> > > > N�o. Isso � defesa contra SMURF attack (e alguns outros tipos de
> > > > amplificadores e � importante ativar). A rigor voc� n�o tem como
> > bloquear
> > > um
> > > > TCP flooding. Voc� tem como evitar que o(s) Host(s)
> atacado(s) seja(m)
> > > > derrubado(s) (atrav�s do controle das emiss�es de RST,
> por exemplo),
> mas
> > > se
> > > > o link do atacante for muito maior que o seu, n�o h�
> como evitar que o
> > seu
> > > > link v� a 100% e destrua com a qualidade de sua
> navega��o e etc. S�
> > > > bloqueando no upstream (no seu backbone) se voc� tiver
> um endere�o IP
> > > (mesmo
> > > > que seja spoof).
> > > >
> > > > Uma coisa que � poss�vel de tentar (embora eu n�o saiba
> como fazer no
> > > Cisco)
> > > > � bloquear pacotes com SYN+FIN setados, mas hoje em dia
> os scripts de
> > > ataque
> > > > j� sabem passar por cima deste truque ;-)
> > > >
> > > > Cordialmente,
> > > > Antonio Carlos Pina
> > > > Diretor de Tecnologia
> > > > INFOLINK Internet
> > > > http://www.infolink.com.br
> > > >
> > > > ----- Original Message -----
> > > > From: "Edinilson J. Santos" <[EMAIL PROTECTED]>
> > > > To: "Lista de Discuss�o Rede Wan" <[EMAIL PROTECTED]>
> > > > Sent: Tuesday, January 23, 2001 5:22 PM
> > > > Subject: Re: [redewan] TCP SYN Flooding
> > > >
> > > >
> > > > > Lista de Discuss�o Rede Wan -
> http://www.networkdesigners.com.br
> > > > >
> > > > > Acho que e o
> > > > > no ip directed-broadcast
> > > > >
> > > > > na interface que voce deseja.
> > > > >
> > > > >
> > > > > Edinilson
> > > > > ------------------------------------------
> > > > > ATINET-Afiliado UOL de Atibaia
> > > > > Rua Francisco R. Santos, 54 sala 3
> > > > > ATIBAIA/SP Cep: 12940-000
> > > > > Tel: (0xx11) 4412-0876
> > > > > http://www.atinet.com.br
> > > > > ----- Original Message -----
> > > > > From: "reinaldo" <[EMAIL PROTECTED]>
> > > > > To: "Lista de Discuss�o Rede Wan" <[EMAIL PROTECTED]>
> > > > > Sent: Tuesday, January 23, 2001 1:50 PM
> > > > > Subject: [redewan] TCP SYN Flooding
> > > > >
> > > > >
> > > > > Lista de Discuss�o Rede Wan -
> http://www.networkdesigners.com.br
> > > > >
> > > > > Ola
> > > > > Alguem sabe como bloquear ataques TCP SYN Flooding
> > > > > Nos roteadores 2600 cisco
> > > > >
> > > > > Obrigado
> > > > >
> > > > > Reinaldo
> > > > >
> > > > >
> > > > >
> ______________________________________________________________________
> > > > > To unsubscribe, write to [EMAIL PROTECTED]
> > > > >
> > > > >
> > > > >
> ______________________________________________________________________
> > > > > To unsubscribe, write to [EMAIL PROTECTED]
> > > >
> > > >
> > > >
> ______________________________________________________________________
> > > > To unsubscribe, write to [EMAIL PROTECTED]
> > > >
> > >
> > >
> > >
> ______________________________________________________________________
> > > To unsubscribe, write to [EMAIL PROTECTED]
> >
> >
> >
> ______________________________________________________________________
> > To unsubscribe, write to [EMAIL PROTECTED]
> >
>
>
> ______________________________________________________________________
> To unsubscribe, write to [EMAIL PROTECTED]
>
>
> ______________________________________________________________________
> To unsubscribe, write to [EMAIL PROTECTED]
>
To unsubscribe, write to [EMAIL PROTECTED]
