stringtranslate.com

SYN-флуд

Нормальное соединение между пользователем ( Алисой ) и сервером. Трехстороннее рукопожатие выполняется корректно.
SYN Flood. Атакующий ( Мэллори , зеленый) отправляет несколько пакетов, но не отправляет "ACK" обратно на сервер. Таким образом, соединения полуоткрыты и потребляют ресурсы сервера. Легитимный пользователь Алиса (фиолетовый) пытается подключиться, но сервер отказывается открывать соединение, отказ в обслуживании.

SYN -флуд — это форма атаки типа «отказ в обслуживании» на передачу данных , при которой злоумышленник быстро инициирует соединение с сервером, не завершая соединение. Серверу приходится тратить ресурсы на ожидание полуоткрытых соединений, что может потреблять достаточно ресурсов, чтобы сделать систему невосприимчивой к легитимному трафику. [1] [2]

Пакет , который отправляет злоумышленник SYN, является частью трехстороннего рукопожатия TCP , используемого для установления соединения. [3]

Технические подробности

Когда клиент пытается установить TCP- соединение с сервером, клиент и сервер обмениваются серией сообщений, которые обычно выглядят следующим образом:

  1. Клиент запрашивает соединение, отправляя серверу сообщение SYN( synchronic ).
  2. Сервер подтверждает этот запрос, отправляя SYN-ACKответ клиенту.
  3. Клиент отвечает ACK, и соединение устанавливается.

Это называется трехсторонним TCP-рукопожатием и является основой для каждого соединения, устанавливаемого с использованием протокола TCP.

Атака SYN-флуда работает, не отвечая серверу ожидаемым ACKкодом. Вредоносный клиент может либо просто не отправлять ожидаемый ACK, либо, подделывая исходный IP-адрес в SYN, заставить сервер отправить SYN-ACKна поддельный IP-адрес – который не отправит , ACKпотому что он «знает», что никогда не отправлял SYN.

Сервер будет ждать подтверждения в течение некоторого времени, так как простая перегрузка сети также может быть причиной отсутствия ACK. Однако при атаке полуоткрытые соединения, созданные вредоносным клиентом, связывают ресурсы на сервере и в конечном итоге могут превысить доступные на сервере ресурсы. В этот момент сервер не может подключиться ни к одному клиенту, будь то законный или нет. Это фактически отказывает в обслуживании законным клиентам. Некоторые системы также могут работать со сбоями или зависать, когда другие функции операционной системы таким образом испытывают нехватку ресурсов.

Контрмеры

В RFC 4987 перечислен ряд известных контрмер, в том числе:

  1. Фильтрация
  2. Увеличение отставания
  3. Уменьшение таймера SYN-RECEIVED
  4. Переработка старейшего полуоткрытого TCP
  5. SYN-кэш
  6. SYN-куки
  7. Гибридные подходы
  8. Брандмауэры и прокси

Смотрите также

Ссылки

  1. ^ "CERT Advisory CA-1996-21 TCP SYN Flooding and IP Spoofing Attacks" (PDF) . Carnegie Mellon University Software Engineering Institute . Архивировано из оригинала 2000-12-14 . Получено 18 сентября 2019 .
  2. Служба Panix в Нью-Йорке парализована хакерской атакой, New York Times, 14 сентября 1996 г.
  3. ^ "Что такое DDoS-атака?". Cloudflare.com . Cloudflare . Получено 4 мая 2020 г. .

Внешние ссылки