IP: TCP syncookie support (Suporte SynCookies TCP) :: Admirável Mundo Novo




Muito Bem Vindo

Prezado Leitor, a proposta desse Blog é compartilhar conhecimento com as pessoas que trabalham com Linux, Asterisk, OpenSER, e com tecnologia de voz sobre a rede IP em geral, através de tutoriais, dicas, howto, notícias entre outros assuntos.

Atente para termo de uso do conteúdo do blog no rodapé da página.

quarta-feira, 30 de abril de 2008

IP: TCP syncookie support (Suporte SynCookies TCP)




-----------------------------------------------------------------------------------------------------------------------------------------
IP: TCP syncookie support (disabled per default)

CONFIG_SYN_COOKIES:

Implementação de rede TCP/IP normal é vulnerável a um ataque conhecido como "SYN flooding". Esse ataque de negação de serviço (denial-of-service) evita que usuários remotos legítimos sejam capazes de se conectar ao seu computador enquanto o ataque estiver ocorrendo e requer muito pouco trabalho de quem ataca para poder operar de qualquer lugar da Internet.

Cookies SYN fornece proteção contra esse tipo de ataque. Se você disser Y aqui, a pilha TCP/IP usará um protocolo de desafio criptográfico conhecido como "SYN cookies" para habilitar usuários legítimos para continuar a se conectar, mesmo quando sua máquina estiver sob ataque.

Não existe necessidade para os usuários legítimos mudar seus softwares TCP/IP; cookies SYN trabalha transparentemente com eles. Para informação técnica sobre cookies SYN, verifique http://cr.yp.to/syncookies.html.

Se você for inundado por SYN flood, o endereço de origem reportado pelo kernel é provável tenha sido forjado pelo atacante; isso é reportado apenas como uma ajuda no rastreamento dos pacotes aos seus endereços reais e não deve ser tomado como uma verdade absoluta.

Cookies SYN podem corretamente evitar relato de erro nos clientes quando o servidor estiver realmente sobrecarregado. Se isso acontecer freqüentemente é melhor desligá-lo.

Se você disser Y aqui, observe que os cookies SYN não são habilitados por padrão; você pode habilitá-los dizendo Y à opção "/proc file system support" e "Sysctl support" abaixo e executando o comando:

echo 1 >/proc/sys/net/ipv4/tcp_syncookies

na hora do boot após o sistema de arquivo /proc já ter sido montado.

Se estiver inseguro, diga N.

Symbol: SYN_COOKIES [=y]
Prompt: IP: TCP syncookie support (disabled per default)
  Defined at net/ipv4/Kconfig:335
  Depends on: NET && INET
  Location:
    -> Networking
      -> Networking support (NET [=y])
        -> Networking options
          -> TCP/IP networking (INET [=y])
Postado por Cléviton Mendes de Araújo às 23:27

Nenhum comentário:

Postar um comentário

Assinar: Postar comentários (Atom)



Creative Commons License
Admirável Mundo Novo: Tudo Sobre Asterisk, OpenSER, Linux e Tecnologias de Voz sobre IP
 by Cléviton Mendes de Araújo is licensed under a Creative Commons Atribuição 2.5 Brasil License.