Альфапедия

SYN-наводнение

редактировать
Обычное соединение между пользователем (Алиса ) и сервером. Трехстороннее рукопожатие выполнено правильно. SYN Flood. Злоумышленник (Мэллори ) отправляет несколько пакетов, но не отправляет «ACK» обратно на сервер. Таким образом, соединения являются полуоткрытыми и потребляют ресурсы сервера. Алиса, законный пользователь, пытается подключиться, но сервер отказывается открыть соединение, что приводит к отказу в обслуживании.

A SYN flood - это форма атаки отказа в обслуживании, в которой злоумышленник быстро инициирует соединение с сервером, не завершая соединение. Сервер должен тратить ресурсы на ожидание полуоткрытых соединений, которые могут потреблять достаточно ресурсов, чтобы система перестала отвечать на законный трафик.

пакет, который отправляет злоумышленник, является SYN пакет, часть TCP трехстороннего рукопожатия, используемого для установления соединения.

Содержание
  • 1 Технические детали
  • 2 Контрмеры
  • 3 См. Также
  • 4 Ссылки
  • 5 Внешние ссылки
Технические детали

Когда клиент пытается запустить соединение TCP с сервер клиент и сервер обмениваются серией сообщений, которая обычно выполняется следующим образом:

  1. Клиент запрашивает соединение, отправляя SYN(синхронизировать) сообщение на сервер.
  2. Сервер подтверждает этот запрос, отправляя SYN-ACKобратно клиенту.
  3. Клиент отвечает ACK, и соединение установлено.

Это называется трехстороннее рукопожатие TCP и является основой для каждого установления соединения. хранится с использованием протокола TCP.

Атака SYN-флуда работает, не отвечая серверу ожидаемым кодом ACK. Злоумышленник может либо просто не отправлять ожидаемый ACK, либо подделать исходный IP-адрес в SYN, что приведет к тому, что сервер для отправки SYN-ACKна поддельный IP-адрес, который не будет отправлять ACK, потому что он «знает», что никогда не отправлял SYN.

. Сервер будет подождите некоторое время подтверждения, поскольку простая перегрузка сети также может быть причиной отсутствия ACK. Однако при атаке полуоткрытые соединения, созданные злонамеренным клиентом, связывают ресурсы на сервере и в конечном итоге могут превышать ресурсы, доступные на сервере. В этот момент сервер не может подключиться ни к каким клиентам, законным или нет. Это фактически отказывает в обслуживании законным клиентам. Некоторые системы могут также работать со сбоями или давать сбой, когда другие функции операционной системы испытывают нехватку ресурсов таким образом.

Контрмеры

Существует ряд хорошо известных контрмер, перечисленных в RFC 4987, включая:

  1. Фильтрация
  2. Увеличение отставания
  3. Уменьшение таймера SYN-RECEIVED
  4. Повторное использование самого старого полуоткрытого TCP
  5. SYN-кеша
  6. SYN cookie
  7. Гибридные подходы
  8. Межсетевые экраны и прокси
См. Также
Ссылки
  1. ^«CERT Advisory CA-1996-21 TCP SYN Flooding и IP Spoofing Attacks» (PDF). Институт программной инженерии Университета Карнеги-Меллона. Архивировано из оригинала 14.12.2000. Проверено 18 сентября 2019 г.
  2. ^Служба Panix в Нью-Йорке подверглась хакерской атаке, New York Times, 14 сентября 1996 г.
  3. ^«Что такое DDoS-атака?». Cloudflare.com. Cloudflare. Проверено 4 мая 2020 г.
Внешние ссылки
Последняя правка сделана 2021-06-06 05:21:25
Содержание доступно по лицензии CC BY-SA 3.0 (если не указано иное).
Обратная связь: support@alphapedia.ru
Соглашение
О проекте