Lösung gegen SYN-FLOOD-Atacken

#1 Ich habe bereits die Suchfunktion genutzt und 3 threads zum Problem einer SYN-FLOOD gefunden, welches mich derzeit ebenfalls betrifft.


Was ist eine SYN-FLOOD-Attacke
SYN-Flood-Attacke

Eine SYS-Flood-Attacke ist ein typisches Beispiel für einen DoS-Angriff (DoS steht für "Denial of Service", als Dienstverweigerung und zielt darauf ab, einen Rechner dahin zu bringen, daß er nicht mehr wunschgemäß arbeitet. Ein Webserver würde also keine Seiten mehr an den Surfer liefern). SYN-Flood nutzt ein Designproblem des IP-Protokollstacks des Servers aus.

Wie im Bereich TCP/IP gehört, wird eine TCP-Verbindung aufgebaut, indem ein Drei-Wege-Handshake abläuft. Der Server speichert dazu in einer internen Tabelle alle (noch nicht vollständig aufgebauten) Verbindungen, bei denen er das erste Paket mit einem SYN/ACK beantwortet hat. Er wartet also nur noch auf das abschließende ACK des Client.

Der SYN-Flood-Angreifer erzeugt so viele SYN-Anfragen an den Server mit gefälschten und/oder nicht existierenden Absenderadressen, daß dessen Tabelle vollläuft. Diese sinnlosen Einträge bleiben bis zu einem Timeout in der Tabelle stehen. So lange diese Tabelle voll ist, kann der Server keine neuen Verbindungen mehr annehmen. Wenn es der Angreifer schafft, die Tabelle voll zu halten, arbeitet der Server faktisch nicht mehr.

Diese Lücke wurde in den meisten Betriebssystemen mittlerweile geschlossen.

ABER SCHEINBAR NICHT IN MEINEM


Virenbefall kann ich weitgehend ausschließen
- Schutzsoftware ist aktuell
- Updates werden automatisch und regelmäßig gezogen
- Patches von MS sind installiert


Mein System
- OS = WinXP
- Router = T-Sinus 130 DSL (WLAN)
- Bowser = IE Version 6
- Firewall im Router und von NORTON
- XP-Firewall deaktiviert


Problemanalyse
Scheinbar taucht das Problem auf, wenn filesharing-progs (z.B. eMule etc.) benutzt werden und die entsprechenden Programme sowie Ports in der Firewall-Software freigeschalet sind.
Bei mir sind z.B. im Konfigurator des Routers unter NAT/Virtueller Server, die Ports 4662 (TCP) und 4672 (UDP) meines Desktop-Rechners mit der entsprechend fest zugewiesenen internen IP freigeschaltet.

In Abhängigkeit des gewünschten Dienstes (TCP oder UDP Portnummer), leitet der T-Sinus 130 DSL die externe Anforderung (also z.B. von eMule) zum entsprechenden Server (also der zugewiesenen internen IP-Adresse und somit meinem Desktop-Rechner).

Wenn dann auf einmal nichts mehr geht
- eMail-Abruf
- Aufruf von Internetseiten
- Einloggen in das Routerprogramm (192.168.2.1)
hilft es eigentlich nur, den Desktop herunterzufahren.
Mit meinem Laptop (welchem eine andere interne IP-Adresse zugeordnet ist) kann ich zum Glück weiterhin auf den Router und Online-Dienste zugreifen.

Fazit
Somit liegt es m.E. an der Freigabe der Ports für bestimmte "Spezialanwendungen".

Frage
Gibt es Software oder andere Lösungen, die SYN-FLOOD-Attacken unterbinden?

#2 Zwischenergebnis
Es scheint wirklich an eMule & Co zu liegen

Laut http://www.firewallrouter.de/Grundlagen/Logdatei/body_logdatei.html
handelt es um nicht um einen “echten”Angriff sondern um Anfragen von Usern der Tauschbörse “eMule”. Hierbei werden Anfragen von den Mitgliedern der Tauschbörse an den benötigten Port 4662 der Gegenseite gerichtet. Diese Portanfragen lassen sich grundsätzlich nicht vermeiden.

Der Firewallrouter jedoch hat diese Anfragen als SYN Flood identifiziert ...

Bei einem echten SYN-Flood-Angriff, werden sehr viele Anfragen in kurzer Zeit an zu attakierten Zielrechner gesendet. Treffen diese Anfragen auf einen fehlerhaft konfigurierter Firewallrouter kann dieser seine eigentlichen Aufgaben nur noch langsam oder gar nicht mehr ausführen und um dann im schlimmsten Fall “abstüzen”.

Nicht alle Anfragen sind automatisch “Angriffe” und die aus dem Logfile gewonnenen Informationen müssen entprechend bewertet werden. Gegebenenfalls sind Konfigurationseinstellungen des Firewallrouters individuell anzupassen, damit er nicht unnötigerweise Alarm schlägt.


TJA, JETZT MÜSSTE MAN NUR NOCH WISSEN, WIE/WELCHE EINSTELLUNGEN VORZUNEHMEN SIND

#3 Für alle EMULE-Geschädigten
Hier gibt es ein FAQ rund um EMULE:
http://www.emule-project.net/faq/

Abstürze des Routers vermeiden
Der Router stürzt ab, weil er zu viele Verbindungen handhaben muss.
Daher empfiehlt sich zunächst ein Firmware-Update, welches die Routersoftware verbessern könnte, so dass diese mehr Verbindungen aushält.
Firmware-Update erhält man beim Hersteller/Vertreiber des Routers.
Also in meinem Falle von der Deutschen Telekom

1. Firmware checken
Doch zunächst sollte man den Stand der aktuellen Version der Firmware überprüfen:
Also in den Router über http://192.168.2.1 einwählen und
"Konfigurator" - "Status" nacheinander anklicken.
Auf der rechten Seite findet man unter "Status" einige Angaben unter "INFORMATION".
Wichtig ist Version Runtime Code (Ablaufcode)
Bei mir ist das derzeit 1.04 (May 13 2003 10:05:30)

Nun links im Menü auf "Tools" - "Firmware aktualisieren" klicken.
Dort ist ein LINK zu DTAG, wo man aktuelle Firmware, Software und Bedienungsanleitungen findet: http://www.telekom.de/faq

Dort klickt man unter der Rubrik "Software/Treiber" auf "Downloads"
Es öffnet sich ein neues Fenster, in dem man auf "Netzwerkkomponenten" klickt. Nun wählt man in der linken Spalte seinen Router aus
(in meinem Fall "T-Sinus 130 Serie" und dann "T-Sinus 130 DSL")
Und endlich gelangt man zur Übersicht der Download-Angebote für den entsprechenden Router. Neben Tools, Bedienungsanleitungen etc. findet man auch den Download der aktuellen Firmware.
In meinem Fall ist das
http://www.telekom.de/dtag/downloads/T/T-Sinus130dsl_fw104.exe
Firmware für T-Sinus 130 DSL Version 1.04 vom 13.05.2003

Diese Firmware (EXE-Datei) kann man nun downloaden.

Wenn ihr den Konfigurator eures Routers nicht mehr geöffnet haben solltet, dann also nochmal in den Router über http://192.168.2.1 einwählen und
"Konfigurator" - "Tools" - "Firmware aktualisieren" nacheinander anklicken.

Hier könnt ihr nun über den button "Durchsuchen" nach der eben runtergeladenen Datei suchen und diese dann durch Doppelklick in das entsprechene Feld eintragen.
Nun nur noch mit "Weiter" (der button rechts unten) die Aktualisierung starten...

Hinweis
Ich habe das weitere Vorgehen nicht ausprobiert, da meine Firmware noch aktuell war.

2. In EMULE die Werte für Verbindungen heruntersetze
Hierzu sollte man "Max. Verbindungen" und "Max. Verbindungen in 5 Sek" herunterstellen, bis der Router stabil läuft.


WENN ICH NOCH ETWAS FINDEN SOLLTE, LASSE ICH ES EUCH NATÜRLICH SOFORT WISSEN

#4 Hallo Chrifra,

hast du Peerguardian laufen? Peerguardian zeichnet unter anderem auf, welche welche Verbindungen beim Eseln aktiv sind und wer teilweise dahinter steckt. Bestimmte Anbieter urheberrechtlich geschützter Inhalte und eine ganze Armee von Anti-Piracy-Organisationen fahren unter anderem auch DoS-Angriffe, wahrscheinlich, um die Firewall zum Absturz zu bringen. Interessanter Weise passiert das auch, wenn man überhaupt nichts urheberrechtlich geschütztes bzw. nichts, was man käuflich erwerben könnte (wie z.B. die aktuelle Episode einer Serie), herunterlädt. In Amiland hat sich eine Firma sogar DoS-Angriff auf P2P-Nutzer patentieren lassen.

Fröhliches Bellen
SoccerDog

#5 @ SoccerDOG:
Danke fürs feedback
Kannst du mir Bezugsquellen für Peerguardian benennen?

@ all:
Ich habe nun die oben angesprochenen Werte für Verbindungen bearbeitet und nur die Eintragungen der Ports 4662 (TCP) und 4672 (UDP) unter Zuordnung zur IP meines Rechners bei KONFIGURATOR-NAT-VIRTUELLER SERVER eingetragen (nicht noch bei "Spezialanwendungen").

Nun erhalte ich nicht mehr soviele Abstürze. Jedoch kann ich auch noch folgende Meldungen verzeichnen:
- IP Spoofing
- SYN Drop
- Query NTP
- ICMP Redirect

#6 Habe PeerGuardian gefunden:
http://methlab.tech.nu/
Version 1.99b pr7 (2.0 pre-release)

Bin nun gespannt, wie mein Router reagieren wird

#7 @chifra:

Neben dem Peerguardian solltest du unbedingt die IP-Liste in das Muli-Format konvertieren (am besten geht das über http://www.bluetack.co.uk/convert.html) und laden (Einstellungen -> Sicherheit), dann aktivierst du über die erweiterten Einstellungen die Verbose-Option. Daraufhin erscheint auf der Server-Seite das Verbose-Register mit sehr aufschlussreichen Meldungen.

Nach dem Import versucht eMule erst gar nicht auf die gefilterten Peers zuzugreifen, sprich Peerguardian kommt viel seltener zum Einsatz und die problematischen Peers bekommen deine IP-Adresse viel seltener zu Gesicht.

Zusätzlich zu deiner Norton-Konfiguration würde ich in jedem Fall einen Trojaner-Scanner installieren. Norten ist bekannt dafür, dass es von allen gängigen Anti-Viren-Produkten die wenigsten Trojaner findet und auch keinen Schutz gegen eine Infektion bietet. Tauscan von Agnitum (www.agnitum.com) und Trojan Remover (http://www.simplysup.com/tremover/?AfID=15257) sind beide sehr gut. Wobei mir Trojan Remover von Simply Super Software noch einen Tick besser gefällt, besonders wegen der häufigen Signatur und Programm-Updates.

#8 Zu dem Thread

Diskussionen zu eDonkey und anderen P2P Tauschbörsen sind nicht erwünscht und werden gelöscht (Fragen zur Router-/ Firewallkonfiguration werden gedultet)

Des weiteren
http://www.heise.de/newsticker/data/nij-08.05.03-000/

Zitat

Bestimmte Anbieter urheberrechtlich geschützter Inhalte und eine ganze Armee von Anti-Piracy-Organisationen fahren unter anderem auch DoS-Angriffe, wahrscheinlich, um die Firewall zum Absturz zu bringen.

OJE
Neueste Meldung aus dem quakenet
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#9 @ SoccerDog:
Danke für die hilfreichen Tipps (u.a. zu Trojaner-Scannern)

@ spunki:
ok - message understood
Mir geht es hauptsächlich darum, meinen Router vor Angriffen Dritter zu schützen. Dass die Fehlermeldungen in einem Zusammenhang mit der Nutzung von P2P-Diensten (u.a. auch ICQ) stehen, hat sich lediglich aus der Analyse ergeben...

#10 Welche Firewall zeigt dir das mit den Syn-angriffen an?

Das die Firewalls Syn-angriff anzeigen ist wohl normal. Dürfte mit der Fragmentierung der Packete zusammenhängen. Ich würde die Meldung einfach abschalten da sie weitgehenst unwichtig ist.

Korrigiert mich bitte wenn ich falsch liege!
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#11 Die Firewall meines WLAN-Routers "T-Sinus 130 DSL" zeigt neuerdings desöfteren folgende Warnmeldungen:
- IP Spoofing
- SYN Drop
- SYN Flood
- Query NTP
- ICMP Redirect

Wobei ich mich noch nicht schlau gemacht habe,
was die einzelnen Meldungen - mit Ausnahme von SYN Flood (siehe oben) - denn überhaupt bedeuten.

So scheint mir der NTP Query lediglich ein update von Zeit/Datum zu sein.

Die anderen Warnmeldungen sagen mir nichts. Sie treten jedoch auf, wenn ich P2P-Dienste nutze...

#12 @chrifra

Wie spunki schon sagt kannst du das mit dem SYN Flood ignorieren. Es ist zwar tatsächlich ein SYN Flood aber da du ja p2p Programme benutzt scheint es ein gewollter zu sein. Das mit NTP stimmt es ist ein Zeit Protokoll zum synchronisieren der Zeit - ist sogar sehr nützlich

Ehrlichgesagt würde ich mir nicht soviele Gedanken um solche Meldungen machen - das ist wie mit dem Vekehr (rote ampel, grüne ampel, verkehrs schilder) - halt irgendwelche Meldungen aber sie sind für dich vermutlich nicht von weiterer Bedeutung. Natürlich kannst du zu jeder Meldung eine Referenz heraussuchen wenn du dich so dafür interessiert was diese Meldung zu bedeuten haben könnte.

- icmp redirect wird zb. ausgesendet wenn ein Router feststellt, dass ein Paket falsch weitergeleitet wurde. Der sendende Host wird damit aufgefordert die angegebene Route zu ändern. Dieses Signal kann aber soweit ich weiß für einen potentiellen Angriff genutzt werden.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#13 Hallo,

das Problem mit dem SYN FLOOD habe ich auch. Auch ich nutze den Router Sinus 130 dsl mit eingeschalteter Firewall, WinXP und Norton Internet-Security. Allerdings bekomme ich die Mails von meinem Router, wenn ich zB bei www.opel.de den Konfigurator benutze, oder bei www.ruv.de mir Jobs ansehen will. Ich kann diese Mails zwar ignorieren, leider sperrt aber auch der Router den Zugang zu diesen Seiten für ein paar Minuten - und das ist echt lästig.

Könnte es nicht auch sein, dass es weder am Router, noch an der Firewall sondern einfach an den IE6 - Einstellungen liegt? Wenn ja, welche könnten das sein?

Hilfesuchende Grüße von Philemon

#14 IMHO ist die einfachst Loesung die eMule Ports am FW/RT dicht zu machen d.h. zu ignorieren (Ausser Du hast eMule et al in Deinem Netz am laufen )
Allerdings weichen mittlerweile viele eMule Nutzer auf andere Ports aus da sie Angst vor der RIAA haben und das heisst eigentlich musst Du ALLE Ports dicht machen
__________
"Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds