Syn flood a torto?

[evvivame]

Ciao,
Ricevo dal mio router svariati email di allerts cosi fatti:

10/15/2013 18:46:42 **SYN Flood** 192.168.1.4, 4855->> xx.xx.xx.xx, 1044 (from PPPoE1 Outbound)

Tenuto conto che ho un'applicativo sul mio pc (192.168.1.4) che lavora con una telecamera che ha l'indirizzo (xx.xx.xx.xx:1044) mi verrebbe da dire che il syn flood è a torto...

Il router è un digicom Michelangelo Wave 300C non è che si puo' evitare, TRAMITE qualche parametro interno al router, queste molteplici email ( e anche il relativo overhead) SENZA eliminare del tutto il firewall del router ?

P.S. Nonostante i 1000 articoli sul web che parlano di syn flood sarebbe interessante anche capire cos'è sto syn flood...

Grazieeeeeee

[retalv]

http://it.wikipedia.org/wiki/SYN_flood

[LoryOne]

Mah...
Il SYN Flood di solito avviene da indirizzi internet pubblici, anche se inesistenti, verso altri indirizzi pubblici.
Dal log sembra che sia un indirizzo non veicolabile appartenente alla tua rete interna che spedisce ad un altro indirizzo che hai celato.
Se il firewall è attivo, il pacchetto viene scartato a cominciare dall' IP di destinazione, indipendentemente dal flag dello stack. (flag SYN appunto).
Se hai abilitato il forwarding, ed il firewall avrà verificato IP sorgente,porta e stato della connessione, sarà cambiato l'IP dell'interfaccia esterna uguale a quella interna ed il pacchetto veicolato per intero.

[evvivame]

Quota:

Inviato da LoryOne

Mah...
Il SYN Flood di solito avviene da indirizzi internet pubblici, anche se inesistenti, verso altri indirizzi pubblici.
Dal log sembra che sia un indirizzo non veicolabile appartenente alla tua rete interna che spedisce ad un altro indirizzo che hai celato.
Se il firewall è attivo, il pacchetto viene scartato a cominciare dall' IP di destinazione, indipendentemente dal flag dello stack. (flag SYN appunto).
Se hai abilitato il forwarding, ed il firewall avrà verificato IP sorgente,porta e stato della connessione, sarà cambiato l'IP dell'interfaccia esterna uguale a quella interna ed il pacchetto veicolato per intero.

LoryOne,
aggiungo altre info:
1. il firewall sul router è attivo
2. l'indirizzo celato era l'indirizzo del router
3. si ho attivato il portforwarding sul router: ovvero la porta 1044 viene rimbalzata sull ip 192.168.1.44 che è una telecamera.
4. L'applicativo che menzionavo è un sw di gestione delle telecamere (che gira sull'ip 192.168.1.4 e che monitorizza la telecamera 192.168.1.44 collegata al router).Tanto per capirci l'indirizzo della telecamera nel sw di cui sopra è: xxxxxxx.dyndns.info:1044)
5. Le impostazioni del firewall del router sono allegate: chissa magari c'è qualche parametro da "ritoccare" ?
Grazie!
p.s. @retalv si l'avevo visto ma....

[retalv]

Quota:

Inviato da evvivame

p.s. @retalv si l'avevo visto ma....

P.S. Nonostante i 1000 articoli sul web che parlano di syn flood sarebbe interessante anche capire cos'è sto syn flood...

Avevi chiesto cos'era e più chiaro di così è difficile spiegarlo...

E' un attacco DOS che parte dal presupposto di allocare tutte le risorse di memoria possibili in modo da rendere il server inaccessibile avendo (appunto) saturato la memoria in attesa di risposte che non arriveranno mai.

Ogni richiesta SYN richiede l'allocazione di memoria per gestire la richiesta di connessione e viene mantenuta per un certo periodo, N richieste SYN richiedono N allocazioni di memoria, 10.000 richieste richiedono 10.000 allocazioni di memoria e via così:, quando la memoria è saturata (finita, non c'è memoria disponibile sul sistema) non è possibile accettare nuove connessioni, il server non riesce a rispondere e si è raggiunto il Denial Of Service (negazione del servizio).

[retalv]

Quota:

Inviato da evvivame

5. Le impostazioni del firewall del router sono allegate: chissa magari c'è qualche parametro da "ritoccare" ?

Basta semplicemente disattivare il controllo (visto che sai da cosa è generato): nella prima immagine togli la spunta alla prima opzione e il problema scomparirà...

[LoryOne]

Se l'indirizzo celato è quello del router, allora è spiegato il dilemma:
Il router deve avere un'interfaccia interna che appartiene al range di IP della tua sottorete privata, cioè avere il GW che appartiene alla 192.168.1.x (di sicuro non è ne 4 ne 44 ne 255) con sottorete 255.255.255.0.
Ne ha un'altra esterna con IP pubblico.
Il software di gestione della telecamera, che è connessa all'IP 192.168.1.4 tenta di conettersi all'IP pubblico del router (quello che dyndns.info gli fornisce).
Al router, sull'intefaccia esterna, arrivano pacchetti che non si aspetta da un IP privato (comunque accettato da parte del firewall perchè interno alla rete, sebbene non veicolabile dall'esterno per convenzione), quindi lo stack TCP/IP del router rimane in stato di attesa di SYN/ACK per completare il 2° passo dell'handshake (...il 3° passo sarà completato con l'ACK del destinatario) da parte di IP pubblici che mai arriveranno.
In base alle regole impostate sul DoS che deve gestire il tuo router, le connessioni in half open sono così tante da arrivare al limite imposto, pertanto il tuo router invia l'e-mail che hai segnalato.

Il software di gestione deve connettersi al 192.168.1.44, non sull' IP esterno del router.

[LoryOne]

Quota:

Inviato da retalv

Basta semplicemente disattivare il controllo (visto che sai da cosa è generato): nella prima immagine togli la spunta alla prima opzione e il problema scomparirà...

Assolutamente no. la protezione [D]DoS deve essere mantenuta in funzione.
Un DoS, può anche essere attuato se i pacchetti con flag SYN arrivano con una frequenza tale da mettere in crisi il server (o il router) che non riesce a stare dietro a tutti i tentativi di connessione che dovrebbe gestire, quindi si può agire anche sul primo passo dell'handshake, oltrechè sul secondo.
Fortunatamente, i firewall attuali sono stateful, quindi riuscire in un DoS è più difficile, anche se non impossibile...infatti, maggiori controlli equivalgono a maggiore potenza elaborativa per portarli a termine...trattasi comunque di flussi davvero notevoli quando capita...Nella fattispecie, si dirotta il traffico "a vuoto" (un "black hole") liberando la banda per il server che rimane attivo e funzionante Ecco perchè il DDoS dura poco nella maggioranza dei casi di inutilità d'agire di molti pseudo hackers della domenica.

[evvivame]

Quota:

Inviato da LoryOne

Se l'indirizzo celato è quello del router, allora è spiegato il dilemma:
1. Il router deve avere un'interfaccia interna che appartiene al range di IP della tua sottorete privata, cioè avere il GW che appartiene alla 192.168.1.x (di sicuro non è ne 4 ne 44) con sottorete 255.255.255.0.
Ne ha un'altra esterna con IP pubblico.
Il software di gestione della telecamera, che è connessa all'IP 192.168.1.4 tenta di conettersi all'IP pubblico del router (quello che dyndns.info gli fornisce).
Al router, sull'intefaccia esterna, arrivano pacchetti che non si aspetta da un IP privato (comunque accettato da parte del firewall perchè interno alla rete, sebbene non veicolabile dall'esterno per convenzione), quindi lo stack TCP/IP del router rimane in stato di attesa di SYN/ACK per completare il 2° passo dell'handshake (...il 3° passo sarà completato con l'ACK del destinatario) da parte di IP pubblici che mai arriveranno.
In base alle regole impostate sul DoS che deve gestire il tuo router, le connessioni in half open sono così tante da arrivare al limite imposto, pertanto il tuo router invia l'e-mail che hai segnalato.

Il software di gestione deve connettersi al 192.168.1.44, non sull' IP esterno del router.

Secondo me, piano piano causa mie imprecisazioni, stiamo arrivando a un po' di chiarezza.
Ancora qualche precisazione:
1. il punto 1 non è molto chiaro ( GW?) e per evitare altri malintesi ribadisco:
- il router ha l'IP 192.168.1.254
- il pc su cui gira il sw ha l'IP:192.168.1.4
- la telecamera ha l'IP 192.168.1.44 ed è collegata direttamente a una porta Ethernet del router ( via powerlan) : ovvero non è collegata al pc con IP 192.168.1.4.

Inoltre:
- ho rimesso il baffo su DDOS.
- in questo momento il pc (REMOTO) di gestione della telecamera è eccezionalmente spento e appena rivà online proverò a mettere come indirizzo della telecamera http://192.168.1.44:1044 invece di http://xxx.dyndns.info:1044.
Ti saprò dire: per ora grazie!

[LoryOne]

Ma no, che fai ?
Se l'indirizzo IP della telecamera visibile in internet ha un'IP della rete interna, nessuno potrà mai accedervi.
Quello che dico io è che per comunicare col sw di gestione della telecamera tu devi collegarti all' IP interno che questa ha, non quello esterno.
Di fatto, l'IP del PC che ha il software di gestione deve comunicare con l'IP interno della telecamera.
L'hai detto tu che sono 192.168.1.4 e 192.168.1.44
La mail la gestisce il router, quindi è il router che viene utilizzato malamente, pertanto spedisce la mail.
Il tuo problema è interno alla rete, non esterno.
Nessun DoS viene portato a termine a danno del tuo router o della tua telecamera dall'esterno.
Ti viene segnalato come se lo fosse, ma l'indizio che mi ha fatto pensare è che l'IP sorgente è interno alla tua rete, non esterno.

[evvivame]

Quota:

Inviato da LoryOne

Ma no, che fai ?
1. Se l'indirizzo IP della telecamera visibile in internet ha un'IP della rete interna, nessuno potrà mai accedervi.
2. Quello che dico io è che per comunicare col sw di gestione della telecamera tu devi collegarti all' IP interno che questa ha, non quello esterno.
Di fatto, l'IP del PC che ha il software di gestione deve comunicare con l'IP interno della telecamera.L'hai detto tu che sono 192.168.1.4 e 192.168.1.44
La mail la gestisce il router, quindi è il router che viene utilizzato malamente, pertanto spedisce la mail.
Il tuo problema è interno alla rete, non esterno.
Nessun DoS viene portato a termine a danno del tuo router o della tua telecamera dall'esterno.
Ti viene segnalato come se lo fosse, ma l'indizio che mi ha fatto pensare è che l'IP sorgente è interno alla tua rete, non esterno.

Ops....

(Punto 1. Qui non è mi è chiaro nel senso che io da REMOTO e con lo stesso sw che gira sul mio PC se indico come indirizzo della camera http://xxxx.dyndns.info:1044 la vedo )

Punto 2. Scusa ma non è quello che avevo detto anch'io ovvero sul sw della camera (che gira sul 192.168.1.4) devo impostare come indirizzo della camera http://192.168.1.44:1044 anziche http://xxx.dyndns.info:1044 ? o no?.

Porta pazienza...grazie!

[LoryOne]

Sei su un PC che appartiene alla tua rete interna:
Se ti colleghi verso l'IP interno della telecamera la devi vedere e non passi dal router.
Se ti colleghi verso l'IP esterno della telecamera la vedi, perchè è il router a metterti in contatto in entrambi i sensi.
Se ti colleghi verso l'IP esterno del router, senza passare dal risolutore del DNS, ti scatta la segnalazione.

Sei su un PC che non appartiene alla tua rete interna, quindi su internet:
Se ti colleghi verso l'IP interno della telecamera non la vedi
Se ti colleghi verso l'IP esterno della telecamera la vedi: Questo perchè l'IP esterno della telecamera è quello del router che ottiene da dyndns.info e forwarda verso l'IP interno.

E' così ?

Il software di gestione internamente deve pilotare le telecamere internamente.
Le telecamere dall'esterno devono essere raggiunte attraverso il router in visione immagini, ma senza essere pilotate.

Il router fa partire la segnalazione se il SYN Flood avviene da IP esterni verso l'interfaccia esterna del router.
Il fatto che segnali un IP interno non può avere alcun senso, anche perchè non esistono implementazioni di firmware che prendano in esame casi diversi.
Se ce l'ha è perchè si configura una situazione atipica che verosimilmente è quella che ti ho detto.

Se l'IP interno (il software di gestione) tenta di collegarsi all' IP del router, lo raggiungerà, ma non essendoci alcun servizio in ascolto continuerà ad inviare SYN-SENT e tutto rimarrà confinato all'interno della rete interna. Se l'IP è quello esterno del router, non potrà mai forwardare perchè si aspetta di ricevere SYN da IP esterni, non interni. Scatta la segnalazione.

[retalv]

Quota:

Inviato da LoryOne

Assolutamente no. la protezione [D]DoS deve essere mantenuta in funzione.

Oooooooookey... ho detto una stronzata... era solo la strada più semplice...

[evvivame]

Quota:

Inviato da evvivame

Ops....

Punto 2. Scusa ma non è quello che avevo detto anch'io ovvero sul sw della camera (che gira sul 192.168.1.4) devo impostare come indirizzo della camera http://192.168.1.44:1044 anziche http://xxx.dyndns.info:1044 ? o no?.

Con la modifica sopra riportata non ricevo piu email di Syn flood

Grazieeeee