SYN povodeň - SYN flood

Normální spojení mezi uživatelem (Alice ) a server. Třícestné podání ruky je správně provedeno.
SYN Flood. Útočník (Mallory ) odešle několik paketů, ale neodesílá „ACK“ zpět na server. Připojení jsou tedy napůl otevřená a spotřebovávají prostředky serveru. Alice, legitimní uživatel, se pokusí připojit, ale server odmítá otevřít připojení, což má za následek odmítnutí služby.

A SYN povodeň je forma útok odmítnutí služby ve kterém útočník rychle zahájí připojení k serveru, aniž by připojení dokončil. Server musí utrácet prostředky čekáním na napůl otevřená připojení, která mohou spotřebovat dostatek prostředků, aby systém nereagoval na legitimní provoz.[1][2]

The balíček který útočník pošle, je SYN balíček, součást TCP je třícestné podání ruky slouží k navázání spojení.[3]

Technické údaje

Když se klient pokusí spustit TCP připojení k serveru, klient a serveru vyměnit řadu zpráv, které normálně běží takto:

  1. Klient požaduje připojení zasláním a SYN (synchronizovat) zprávu na server.
  2. Server uznává tuto žádost zasláním SYN-ACK zpět ke klientovi.
  3. Klient odpoví ACKa spojení je navázáno.

Tomu se říká TCP třícestné handshake, a je základem pro každé připojení navázané pomocí protokolu TCP.

SYN povodňový útok funguje tak, že nereaguje na server očekávaným způsobem ACK kód. Škodlivý klient nemůže jednoduše odeslat očekávané ACKnebo spoofing zdroj IP adresa v SYN, způsobí, že server odešle SYN-ACK na zfalšovanou IP adresu - která nebude posílat ACK protože „ví“, že nikdy neposlal SYN.

Server počká na potvrzení nějakou dobu, protože chybějící síť může být také příčinou chybějícího serveru ACK. Při útoku však napůl otevřené spoje vytvořené škodlivými prostředky vázání klienta na serveru a může nakonec překročit prostředky dostupné na serveru. V tomto okamžiku se server nemůže připojit k žádným klientům, ať už legitimním nebo jiným. To fakticky popírá službu legitimním klientům. Některé systémy mohou také selhat nebo havarovat, pokud tímto způsobem nebudou vyčerpány jiné funkce operačního systému.

Protiopatření

Existuje řada dobře známých protiopatření uvedených v seznamu RFC 4987 počítaje v to:

  1. Filtrování
  2. Zvyšující se nevyřízené položky
  3. Snížení časovače SYN-RECEIVED
  4. Recyklace nejstarších napůl otevřený TCP
  5. SYN cache
  6. SYN soubory cookie
  7. Hybridní přístupy
  8. Brány firewall a proxy

Viz také

Reference

  1. ^ „CERT Advisory CA-1996-21 TCP SYN Flooding and IP Spoofing Attacks“ (PDF). Carnegie Mellon University Software Engineering Institute. Archivováno od originálu dne 2000-12-14. Citováno 18. září 2019.
  2. ^ Newyorská služba Panix je ochromena hackerským útokem, New York Times, 14. září 1996
  3. ^ „Co je to DDoS útok?“. Cloudflare.com. Cloudflare. Citováno 4. května 2020.

externí odkazy