Атака SYN-flooding

В се­ре­дине 90-х годов атака по типу SYN-flooding была одной из самых рас­про­стра­нен­ных. Она ис­поль­зу­ет недо­стат­ки про­то­коль­ной ма­ши­ны TCP. Атака SYN-flooding по­па­да­ет под ка­те­го­рию атак «отказ в об­слу­жи­ва­нии» (Denial of Service, DoS), при­во­дя­щих к за­ви­са­нию ком­пью­те­ра — т. е. ком­пью­тер про­дол­жа­ет ра­бо­тать, но ста­но­вит­ся недо­ступ­ным через сеть.

Когда кли­ент­ский ком­пью­тер уста­нав­ли­ва­ет со­еди­не­ние с сер­ве­ром по про­то­ко­лу TCP, он по­сы­ла­ет TCP-па­кет с вы­став­лен­ным битом SYN. В ответ сер­вер по­сы­ла­ет TCP-па­кет с би­та­ми SYN/ACK. В свою оче­редь кли­ент от­прав­ля­ет TCP-па­кет с битом ACK. После этого со­еди­не­ние между кли­ен­том и сер­ве­ром счи­та­ет­ся уста­нов­лен­ным. Такая схема со­еди­не­ния на­зы­ва­ет­ся трех­сту­пен­ча­той, по­сколь­ку она преду­смат­ри­ва­ет обмен тремя пакетами.

Когда сер­вер по­лу­ча­ет пакет SYN, он вы­де­ля­ет до­пол­ни­тель­ную па­мять для но­во­го со­еди­не­ния. В боль­шин­стве опе­ра­ци­он­ных си­стем для каж­дой из се­те­вых служб преду­смот­рен лимит (обыч­но рав­ный де­ся­ти) на ко­ли­че­ство вновь со­зда­ва­е­мых со­еди­не­ний TCP (в неко­то­рых си­сте­мах та­ко­го ли­ми­та нет, но по­ло­же­ние от этого не на­мно­го лучше, по­сколь­ку при от­сут­ствии сво­бод­ной па­мя­ти за­вис­нет весь ком­пью­тер, а не толь­ко одна кон­крет­ная служ­ба). Пока сер­вер не по­лу­чит пакет SYN/ACK или пакет RST (см. далее) либо не на­сту­пит тайм-аут на вновь со­зда­ва­е­мое со­еди­не­ние (обыч­но 75 се­кунд), со­еди­не­ние про­дол­жа­ет ре­зер­ви­ро­вать память.

Атака SYN-flooding преду­смат­ри­ва­ет по­сыл­ку на сер­вер мно­же­ства па­ке­тов TCP с вы­став­лен­ным битом SYN от лица несу­ще­ству­ю­щих или нера­бо­та­ю­щих хо­стов (за счет при­ме­не­ния под­ме­ны IP-ад­ре­сов). По­след­нее тре­бо­ва­ние важно, по­сколь­ку если за­прос на уста­нов­ку со­еди­не­ния при­дет от имени ра­бо­та­ю­ще­го хоста, то, когда сер­вер по­шлет в его адрес пакет SYN/ACK, хост от­ве­тит па­ке­том RST (reset), ини­ци­и­ру­ю­щим сброс со­еди­не­ния. И со­еди­не­ние будет уда­ле­но из па­мя­ти сервера.

При атаке SYN-flooding вы­де­лен­ная под уста­нов­ле­ние новых со­еди­не­ний па­мять сер­ве­ра быст­ро ис­чер­пы­ва­ет­ся, и се­те­вой сер­вис зависает.

Для про­ти­во­дей­ствия ата­кам SYN-flooding по­ми­мо уве­ли­че­ния раз­ме­ра па­мя­ти под уста­нав­ли­ва­е­мые со­еди­не­ния и умень­ше­ния тайм-аута на меж­се­те­вых экра­нах при­ме­ня­ют­ся раз­лич­ные хит­ро­ум­ные ме­то­ды борь­бы. Уста­нов­ка меж­се­те­вых экра­нов се­ан­со­во­го и при­клад­но­го уров­ня или ин­спек­то­ров со­сто­я­ний кар­ди­наль­но ре­ша­ет про­бле­му атак SYN-flooding, по­сколь­ку имен­но они от­ра­жа­ют все атаки, в то время как ком­пью­те­ры внут­рен­ней сети даже не знают об их проведении.

Дата добавления: 2014-01-03; Просмотров: 243; Нарушение авторских прав?; Мы поможем в написании вашей работы!