SourceForge.net Logo

Bienvenu ! / Welcome !

Qu'est ce que SynDetector ?

SynDetector est un programme de défence qui a pour but de détecter et de contrer les attaques de type SYN flooding.
Un synflood est une attaque qui consiste à saturer la machine victime afin que durant l'attaque elle soit dans l'incapacité
totale de répondre à des clients normaux.
Cette saturation est obtenue grâce à un très grand nombre de demande de connections successives (flood) non finalisées.
C'est à dire par l'envoit de paquet SYN (d'où le nom synflood).
Le serveur victime tente de repondre au SYN par un SYN-ACK au client qui devrait finalisé la connection par un ACK. Si c'est le cas
alors la connection est valide et tout se passe bien. Mais si le client ignore ou ne peut pas répondre au SYN-ACK alors les
ressources mémoires et processeurs de traitement de la demande de connection restent allouées jusqu'au timeout.
Le timeout en question étant le temps maximum accordé au client pour répondre.
De plus le nombre de connection en attente de finalisation étant naturellement limité si les demandes de connections sont
suffisemment rapide alors l'effet recherché sera atteind.

Effet : le serveur victime voit ses ressources complettements saturés et ne peut plus répondre aux requêtes légales.
Contre mesure : le but de SynDetector est de trouver les IP attaquantes et des les bannirs afin que les paquets SYN n'aboutissent plus.

SynDetector en profite aussi pour prévenir un type d'attaque dérivé mais qui se limite à un service du serveur
victime. Ex : un grand nombre de connection sur un serveur apache pour saturer ce service. Ce n'est pas un synflood car dans ce cas
les connections sont valides. Cela signifie aussi que les IP dans ce cas ne sont pas spoofé, cette attaque est donc risqué pour
l'agresseur et sera surtout pratiqué par des amateurs.

What is SynDetector ?

The aim of SynDetector is to detect and to break synflood attacks.
A synflood is an attack which try to saturate a server with a flood of start of connections (syn packet). The effect is that normal client can't connect to the server.
When a SYN is received by a server, the server answer It with a SYN-ACK to the client. To validated the connection the client need to send an ACK to the server. If the client ignore or can't answer to the SYN-ACK then all needed capacities to treat a connection still in use before the timeout.
And there is a maximum of start of connections possible (limit of the system) so if the connections are realy fast the wanted effect appears.

Effect : the saturated server can't answer to legal connections requests of normal client.
Solution : the aim of SynDetector is to detect and ban IP where come attacks to block the SYN packets.

A second aspect of SynDetector is the capacitie to detect and block a derivated of synflood attack. It's is possible to saturate a particular service instead of the server. Example : a flood of connection on apache to reach the maximum number of connections. But in this case, the connection are normal and come from true IP (can't come from spoofed IP) so there is huge risk to use this attack and come often from amators.