Article ID: 1357, created on Jul 9, 2009, last review on May 10, 2014

  • Applies to:
  • Plesk for Linux/Unix

Resolución

Un ataque de denegación de servicio muy popular implica el envío de paquetes SYN (posiblemente manipulado) por parte de un intruso, aunque nunca llega a completar el protocolo de enlace de tres vías de TCP. Esto consume rápidamente los slots en la cola medio abierta del kernel, impidiendo el establecimiento de conexiones legítimas. Como una conexión no requiere ser completada, no se requiere el uso de recursos en la máquina atacante, por lo que es realmente fácil de realizar y mantener.

Si se ha definido la variable tcp_syncookies (sólo disponible si su kernel fue compilado con CONFIG_SYNCOOKIES), entonces el kernel administra los paquetes TCP SYN de forma normal hasta que la cola está llena. En este momento se inicia la funcionalidad de la cookie SYN.

Las cookies SYN funcionan sin usar ninguna cola SYN. En su lugar, el kernel responderá a cualquier paquete SYN con un SYN|ACK de forma normal, pero mostrará un número de secuencia TCP especial que codifica la dirección IP de origen y de destino y el número y la hora en la que se envió el paquete. Un atacante que realice un 'flood' SYN nunca debería obtener este paquete si está suplantándose, por lo que no debería responder. Un intento de conexión legítimo debería enviar el tercer paquete del protocolo de enlace de tres vías, que incluye este número de secuencia y el servidor puede verificar que este debe ser en respuesta a una cookie SYN válida y permitir la conexión, aunque la entrada correspondiente no exista en la cola SYN.

La habilitación de cookies SYN es una forma muy fácil de protegerse contra ataques flood SYN y sólo usa un poco más de tiempo de CPU para la creación y comprobación de la cookie. Como la alternativa es rechazar todas las conexiones entrantes, la habilitación de cookies SYN es una elección obvia.

tcp_syncookies can be enabled with:

# /sbin/sysctl  -w net.ipv4.tcp_syncookies=1

o

#  echo 1 > /proc/sys/net/ipv4/tcp_syncookies


Encontrará más información acerca de Linux Firewall /proc en:

http://www.securityfocus.com/infocus/1711

29d1e90fd304f01e6420fbe60f66f838 a914db3fdc7a53ddcfd1b2db8f5a1b9c 56797cefb1efc9130f7c48a7d1db0f0c

Email subscription for changes to this article
Save as PDF