Github veröffentlicht Abwehr-Tool gegen Synflood-Angriffe

13.07.2016

Das Abwehr-Tool benutzt IPTables und ist somit zwischen unterschiedlichen Linux- und Kernelversionen portabel.

Unter dem Namen Synsanity hat Github ein neues Tool veröffentlicht, das bei der Abwehr von Synflood-Angriffen hilft. Ähnlich wie der Linux-Kernel verwendet es sogenannte Syn-Cookies, wenn der Puffer an Syn-Paketen voll ist, um zu verhindern, dass die Speicherstrukturen überlaufen (Denial of Service). Der entsprechende Syn-Cookie-Support ist im Linux-Kernel 3.x implementiert, aber verwendet einen globalen Lock, was den Einsatz auf Multicore- und Multiprozessorsystemen ineffizient macht. 

Zwar existiert im Linux-Kernel 4.x eine Syn-Cookie-Implementierung mit Core-spezifischen Locks, aber Github suchte nach einer Lösung, die über unterschiedliche Kernel-Releases hinweg funktioniert. Dazu haben sich die Entwickler an Synproxy orientiert, einem IPTables-Modul, das andere Maßnahmen gegen Synflood-Angriffe ergreift. Dies haben sich die Github-Programmierer zum Vorbild genommen und damit Syn-Cookies implementiert. Mit der Software namens Synsanity wird somit einerseits die Synflood-Abwehr per Syn-Cookies implementiert, aber andererseits die Abhängigkeit von einer spezifischen Kernel-Version und die Notwendigkeit der Wartung eines eigenen Kernel-Moduls umgangen. 

Mehr Details und ein Link zum Quellcode sind in der Ankündigung von Synsanity zu finden. Seine Tauglichkeit hat das Tool schon in der Abwehr von Angriffen auf Github bewiesen. 

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019