SYN флуд - SYN flood

Нормальное соединение между пользователем (Алиса ) и сервер. Трехстороннее рукопожатие выполнено правильно.
SYN флуд. Злоумышленник (Мэллори ) отправляет несколько пакетов, но не отправляет «ACK» обратно на сервер. Таким образом, соединения являются полуоткрытыми и потребляют ресурсы сервера. Алиса, законный пользователь, пытается подключиться, но сервер отказывается открыть соединение, что приводит к отказу в обслуживании.

А SYN флуд это форма атака отказа в обслуживании в котором злоумышленник быстро инициирует соединение с сервером, не завершая соединение. Серверу приходится тратить ресурсы на ожидание полуоткрытых соединений, которые могут потреблять достаточно ресурсов, чтобы система перестала отвечать на законный трафик.[1][2]

В пакет что злоумышленник отправляет SYN пакет, часть TCP с трехстороннее рукопожатие используется для установления соединения.[3]

Технические детали

Когда клиент пытается запустить TCP подключение к серверу, клиент и сервер обменяться серией сообщений, которая обычно выполняется следующим образом:

  1. Клиент запрашивает соединение, отправляя SYN (синхронизировать) сообщение на сервер.
  2. Сервер признает этот запрос, отправив SYN-ACK обратно к клиенту.
  3. Клиент отвечает ACK, и соединение установлено.

Это называется Трехстороннее рукопожатие TCP, и является основой для каждого соединения, установленного с использованием протокола TCP.

Атака SYN-флуда работает, не отвечая серверу с ожидаемым ACK код. Вредоносный клиент может просто не отправлять ожидаемые ACK, или спуфинг источник айпи адрес в SYN, заставьте сервер отправить SYN-ACK на фальсифицированный IP-адрес, который не будет отправлять ACK потому что он "знает", что никогда не отправлял SYN.

Сервер будет ждать подтверждения в течение некоторого времени, так как простая перегрузка сети также может быть причиной отсутствия ACK. Однако при атаке полуоткрытые соединения Созданные вредоносным клиентом связывают ресурсы на сервере и в конечном итоге могут превышать ресурсы, доступные на сервере. В этот момент сервер не может подключиться ни к каким клиентам, законным или нет. Это фактически отказывает в обслуживании законным клиентам. Некоторые системы могут также работать со сбоями или давать сбой, когда другие функции операционной системы испытывают нехватку ресурсов таким образом.

Контрмеры

Есть ряд хорошо известных контрмер, перечисленных в RFC 4987 включая:

  1. Фильтрация
  2. Увеличение отставания
  3. Уменьшение таймера SYN-RECEIVED
  4. Переработка самых старых полуоткрытый TCP
  5. SYN-кеш
  6. SYN файлы cookie
  7. Гибридные подходы
  8. Межсетевые экраны и прокси

Смотрите также

Рекомендации

  1. ^ "CERT Advisory CA-1996-21 TCP SYN Flooding и IP Spoofing Attacks" (PDF). Институт программной инженерии Университета Карнеги-Меллона. В архиве из оригинала от 14.12.2000. Получено 18 сентября 2019.
  2. ^ Нью-йоркская служба Panix подверглась хакерской атаке, New York Times, 14 сентября 1996 г.
  3. ^ "Что такое DDoS-атака?". Cloudflare.com. Cloudflare. Получено 4 мая 2020.

внешняя ссылка