Cisco ruter konfigurasjon mot WEB TCP SYN angrep

[Knopfix]

Hei

 

Har herdet ruteren med sone basert brannmur og diveres IPS signatuerer.

IPS blokkerer angrep den kjenner igjen og lager en dynamisk aksess liste mot kilde IP adressen som angriper.

Har gjort en del tester mot serveren min med en app fra en jailbreaket IPhone over 3G nettet og oppdaget at websiden min som kjører HTTPS over port 443 er hjelpeløs mot TCP SYN angre mot port 443, samtidig som ruteren min av modell Cisco 1812w blir hardt rammet. Mister SSH forbindelsen min fra lokalnettet mens angrepet via 3G nettet er aktivt.

Da det ser ut som ikke min sone baserte brannmur eller IPS stopper denne typen angrep trenger jeg hjelp til endring av konfigurasjon eller hjelp til en ny tilleggs konfigurasjon for å stoppe denne type angrep.

 

Log under TCP SYN WEB angrep mot port 443 :

 

 

082253: Sep 5 00:03:05.046 GMT+2: %IPS-4-SIGNATURE: Sig:6009 Subsig:0 Sev:75 SYN Flood DOS [2.150.x.x:5979 -> 81.167.x.x:443]

 

 

 

Edit : Dette gjelder også angrep av type WEB angrep SYN ACK, ICMP og UPD . Kommer heller ikke inn på andre nettsider på lokalnettet mens dette pågår.

Endret 4. september 2013 av Knopfix

[conundrum]

Uten å ha sett konfigurasjonen din, er det vanskelig å si hvorfor routeren får problemer under et SYN-angrep. Det som derimot kan sies, er at SYN-angrep i seg selv ikke kan håndteres i routeren på annen måte enn at pakkeantallet begrenses, noe som fort kan få den utilsiktede bieffekten at legitime forespørsler avvises.

 

Hvordan foretok du testingen? Hva slags type ICMP- og UDP-angrep testet du, og hva var resultatene av disse? Gikk routeren i stå da også? Hvor høy CPU-bruk har routeren når dette skjer (show processes)?

 

SYN-angrep utnytter det faktum at IP-stacken i operativsystemet allokerer minne hver gang en SYN-pakke mottas og en SYN/ACK returneres, slik at den endelige ACK-pakken kan knyttes til en pågående TCP-forhandling. Hvis ingen ACK mottas (fordi det er snakk om et SYN-angrep og ikke en legitim forespørsel), legger den falske forbindelsen beslag på minneressurser inntil et antall ACK-forsøk er gjort og forespørselen til slutt slettes ved tidsavbrudd. Dette kan ta tid, og en angriper kan lett åpne tusenvis av slike forbindelser innen den første utløper.

 

IPS-systemer kan oppdage et SYN-angrep ved å overvåke flere parametre (antall SYN-pakker, antall TCP-forbindelser med status SYN_RECEIVED etc.), men kan ikke gjøre stort annet enn foreta skadebegrensning ved å droppe nye SYN-pakker. Dette kan resultere i at legitime forespørsler rammes, spesielt hvis angriperen bruker falske avsenderadresser (IP spoofing).

 

Løsningen er TCP SYN Cookies (eller den nyere "TCP Cookie Transactions", men den støttes foreløpig ikke av alle systemer), en mekanisme der sekvensnummeret benyttes som en signatur. SYN Cookies innebører at serveren ikke "husker" at en SYN/ACK er sendt, men validerer i stedet signaturen når den returneres med den endelige ACK-pakken.

 

Sjekk om OS-et du bruker har SYN Cookies-støtte; det skulle i det minste eliminere sårbarheten mot SYN Flooding.

[Knopfix]

 

Har ikke hatt så mye tid til å se videre på det ennå.

Brannmuren stopper de fleste typer SYN, DOS og DDOS angrep, i tillegg til at IPS dropper trafikk så lenge vi ikke snakke om store BOT nett. Går ut i fra dette da det ikke er helt sjeldent jeg er utsatt for denne type angrep. Nettet kan gå tregere til tider men det er ikke verre enn at det fungerer.

Men SYN angrep under kategori WEB fra en jailbreaket Iphone lager store problemer. Har forsøkt å justere ned TCP SYN WAIT time uten hell.

Har også fulgt generelle råd fra Cisco ved å slå av å på funksjoner på ruteren.

Hvis det finnes en spesifikk konfigurasjon beregnet for å stoppe denne type angrep for Cisco IOS så setter jeg pris på om noen vil poste den.