Cyber-Warrior.Org \ Doküman \ Web Güvenlik Açıkları > Syn Saldırıları- Korunma Yolları

SYN (TCP baglanti istegi), asagidaki karakteristiklere sahip çok yaygin bir DoS saldirisidir:

1. Saldirgan Internette kullanilmayan IP adreslerini aldatma ile kullanarak (kaynak adresi olarak kullanarak - spoof) birçok SYN paketini hedef makinaya yollar.

2. Alinan her SYN pakedi için, hedef makina kaynak ayirir ve onay paketini (SYN-ACK) (SYN pakedinin yollandigi) kaynak ip adresine yollar.

3. Hedef makina, saldiri yapilan makinadan yanit alamayacagindan dolayi, SYN-ACK paketini 5 kez tekrar edecektir. Bunun tekrar süreleri, 3, 6, 12, 24 ve 48 saniyedir. Ayirdigi kaynagi bosa çikartmadan evvel, 96 saniye sonra son bir kez SYN-ACK denemesi yapacaktir. Hepsini topladiginizda, görüldügü gibi hedef makina ayirdigi kaynaklari 3 dakika gibi bir süre tutacaktir. Bu sadece her bir SYN atagi için gerçeklesecek süredir.

Saldirgan bu teknigi tekrarlanan bir sekilde gerçeklestirdigi zaman, hedef makina ayirdigi kaynaklardan dolayi kaynak yetersizligine kadar ulasir ve artik yeni bir baglanti karsilayamayacak duruma gelir. Ve bu durumda yetkili kullanicilar bile makinaya baglanamaz.

Sisteminizde böyle bir atakla karsi karsiya olup olmadiginizi anlamak için, komut satirinda :
netstat -n -p tcp
yazmaniz yeterli olacaktir.

Çikan sonuca bakip, SYN_RECEIVED durumunda olan çikislari kontrol edebilirsiniz. Eger bu tip duruma sahip birçok baglanti varsa, sisteminiz bu saldiriya maruz kalmistir.

Sisteminizi korumak için:

Ates duvarlari* tabii ki sisteminizi bu tip saldirilardan koruyacaktir, ve eger mümkünse ates duvari kullanmaniz gerekmektedir. Fakat, windows da hali hazirda zaten bu saldirilara karsi korunmanin bir yolu mevcuttur ve SYN isteklerini daha çabuk zaman asimina ugratabilirsiniz. Bu özelligi çalisir duruma getirebilmek için izlenmesi gereken adimlar sunlardir:

1. Registry editörünüzü çalistirin ve HKLM\\\\\\SYSTEM\\\\\\CurrentControlSet\\\\\\Services\\\\\\Tcpip\\\\\\Parameters degerini bulun
2. Edit menüsünden Yeni bir DWORD degeri olusturmayi seçin ve
3. Adini "SynAttackProtect" verin.
4. Yarattiginiz anahtarin üzerinde çift tiklayin ve degerini "2" verin
5. Registry editörünü kapatin ve makinanizi tekrar baslatin

Burada "SynAttackProtect" degiskeninin kabul edilen baslangiç degeri 0 (sifir) dir. Ve koruma kapalidir. Verilecek "1" degeri ise en yüksek TCP baglanti degerine ulasildiginda (Örnegin; baglantinin SYN_RECEIVED durumu TcpMaxHalfOpen olarak bilinir) ve tekrar ile karsilasildiginda (Örnegin; TcpMaxHalfOpenRetried) SYN tekrarini ve yönlendirme bellek degerinin bekleme süresini limitler.

Eger "SynAttackProtect" degeri "2" olursa, sonuç 1 verildigindekine benzer olacaktir fakat SYN islemindeki 3-yollu el sikisma bitene kadar bekleyen bir geciktirilmis Winsock notification içerir.

Çünki Windows "SynAttackProtect" degerini, "TcpMaxHalfOpen" ve "TcpMaxHalfOpenRetried" da tanimlanan degerlere ulastiginda çagirip kullanacaktir. Size tavsiyemiz bu iki degeride ayni registry konumunda (HKLM\\\\\\SYSTEM\\\\\\CurrentControlSet\\\\\\Services\\\\\\Tcpip\\\\\\Parameters) olusturmaniz ve degerlerini asagidaki gibi girmenizdir:
TcpMaxHalfOpen=100
TcpMaxHalfOpenRetried=80

// Döküman MnmL Tarafindan Bug Researchers Group Adina Yazilmistir..