Also ein reiner Server, wie er z.B. im Internet steht, nimmt eiegntlich NUR eingehende TCP-Verbindungen an. Er wartet auf SYNs, schickt ein SYN/ACK los und speicher die Daten in 'nem Syn-Cookie - wenn dann noch ein ACK kommt, dann checkt er nach, ob ein passendes Cookies existiert - und nimmt somit die Verbindung an. Dank Syn-Cookies kann er also eine SYN-Attacke problemlos überleben. Bei 'ner Clientmaschine ist es aber so, dass ei vor allem TCP-Verindungen aufbaut und deshalb massenhaft SYNs senden kann - und sie auch immer wieder sendet, wenn zwar wenn kein SYN/ACK kommt. In aller Regel 4 SYNs pro Verbindung - da sich der Traffic also vervierfacht, ist eine Client-Maschine für ein SYN-Flooding besser geeignet als ein Server. Man muss nur z.B. durch ein Packet-Flooding oder Manipulation eines zwischengeschaltetten Servers die Verbindungsaufnahme durch den Server stören und schon wird jede Client-Maschine anfangen zu SYN-Flooden...
Zweitens verwendet ein Windows-Rechner überhaupt keine SYN-Cookies und ab Windows 2000 nur ein IDS-ähnliches System, um auf SYN-Floods zu reagieren. Weiterhin existiert auch keine brauchbare Implementierung von SYN-Cookies in den TCP/IP-Stack von Windows.
Hier ist eine IDS, die SYN-Floodings erkennt, also wirklich nötig.
Und du hast schon recht, wenn du behauptest, dass bezüglich des SYN-Fllodings Linux wirklich besser geeignet ist. Volle Zustimmung. Leider geht's hier aber um Windows...