Атака SYN-flooding

ЗА­КЛЮ­ЧЕ­НИЕ

ДРУ­ГИЕ ВОЗ­МОЖ­НО­СТИ МЕЖ­СЕ­ТЕ­ВЫХ ЭКРАНОВ

По­ми­мо вы­пол­не­ния своих ос­нов­ных функ­ций, меж­се­те­вые экра­ны экс­перт­но­го клас­са имеют хо­ро­шо про­ду­ман­ную си­сте­му про­то­ко­ли­ро­ва­ния со­бы­тий и опо­ве­ще­ния ад­ми­ни­стра­то­ров. МЭ поз­во­ля­ет ре­ги­стри­ро­вать все об­ра­ще­ния поль­зо­ва­те­лей к ре­сур­сам, про­хо­дя­щие через экран, в том числе кто, когда, с какой ма­ши­ны об­ра­тил­ся к кон­крет­но­му ре­сур­су или по­лу­чил отказ. Про­то­ко­ли­ро­ва­ние поз­во­ля­ет вы­явить слу­чаи про­ве­де­ния атак на внут­рен­нюю сеть, об­на­ру­жить ме­сто­на­хож­де­ние ха­ке­ра и за­ра­нее бло­ки­ро­вать тра­фик от него.

Со­став­ной ча­стью боль­шин­ства ком­мер­че­ских меж­се­те­вых экра­нов экс­перт­но­го уров­ня яв­ля­ют­ся сред­ства по­стро­е­ния вир­ту­аль­ных част­ных сетей, поз­во­ля­ю­щие шиф­ро­вать ин­фор­ма­цию при ее пе­ре­да­че по об­ще­до­ступ­ной сети. Более того, та­ки­ми сред­ства­ми об­ла­да­ют даже неко­то­рые се­те­вые филь­тры на базе ап­па­рат­ных маршрутизаторов.

Нема­лая часть меж­се­те­вых экра­нов снаб­жа­ет­ся сред­ства­ми под­держ­ки уда­лен­ных поль­зо­ва­те­лей, в том числе мощ­ны­ми сред­ства­ми аутен­ти­фи­ка­ции таких пользователей.

Меж­се­те­вые экра­ны не яв­ля­ют­ся па­на­це­ей при борь­бе с ата­ка­ми зло­умыш­лен­ни­ков. Они не могут предот­вра­тить атаки внут­ри ло­каль­ной сети, но вме­сте с дру­ги­ми сред­ства­ми за­щи­ты иг­ра­ют ис­клю­чи­тель­но важ­ную роль для за­щи­ты сетей от втор­же­ния извне. По­ни­ма­ние тех­но­ло­гии ра­бо­ты меж­се­те­вых экра­нов поз­во­ля­ет не толь­ко сде­лать пра­виль­ный выбор при по­куп­ке си­сте­мы за­щи­ты, но и кор­рект­но на­стро­ить меж­се­те­вой экран. Враг не дол­жен пройти!

В се­ре­дине 90-х годов атака по типу SYN-flooding была одной из самых рас­про­стра­нен­ных. Она ис­поль­зу­ет недо­стат­ки про­то­коль­ной ма­ши­ны TCP. Атака SYN-flooding по­па­да­ет под ка­те­го­рию атак «отказ в об­слу­жи­ва­нии» (Denial of Service, DoS), при­во­дя­щих к за­ви­са­нию ком­пью­те­ра — т. е. ком­пью­тер про­дол­жа­ет ра­бо­тать, но ста­но­вит­ся недо­ступ­ным через сеть.

Когда кли­ент­ский ком­пью­тер уста­нав­ли­ва­ет со­еди­не­ние с сер­ве­ром по про­то­ко­лу TCP, он по­сы­ла­ет TCP-па­кет с вы­став­лен­ным битом SYN. В ответ сер­вер по­сы­ла­ет TCP-па­кет с би­та­ми SYN/ACK. В свою оче­редь кли­ент от­прав­ля­ет TCP-па­кет с битом ACK. После этого со­еди­не­ние между кли­ен­том и сер­ве­ром счи­та­ет­ся уста­нов­лен­ным. Такая схема со­еди­не­ния на­зы­ва­ет­ся трех­сту­пен­ча­той, по­сколь­ку она преду­смат­ри­ва­ет обмен тремя пакетами.

Когда сер­вер по­лу­ча­ет пакет SYN, он вы­де­ля­ет до­пол­ни­тель­ную па­мять для но­во­го со­еди­не­ния. В боль­шин­стве опе­ра­ци­он­ных си­стем для каж­дой из се­те­вых служб преду­смот­рен лимит (обыч­но рав­ный де­ся­ти) на ко­ли­че­ство вновь со­зда­ва­е­мых со­еди­не­ний TCP (в неко­то­рых си­сте­мах та­ко­го ли­ми­та нет, но по­ло­же­ние от этого не на­мно­го лучше, по­сколь­ку при от­сут­ствии сво­бод­ной па­мя­ти за­вис­нет весь ком­пью­тер, а не толь­ко одна кон­крет­ная служ­ба). Пока сер­вер не по­лу­чит пакет SYN/ACK или пакет RST (см. далее) либо не на­сту­пит тайм-аут на вновь со­зда­ва­е­мое со­еди­не­ние (обыч­но 75 се­кунд), со­еди­не­ние про­дол­жа­ет ре­зер­ви­ро­вать память.

Атака SYN-flooding преду­смат­ри­ва­ет по­сыл­ку на сер­вер мно­же­ства па­ке­тов TCP с вы­став­лен­ным битом SYN от лица несу­ще­ству­ю­щих или нера­бо­та­ю­щих хо­стов (за счет при­ме­не­ния под­ме­ны IP-ад­ре­сов). По­след­нее тре­бо­ва­ние важно, по­сколь­ку если за­прос на уста­нов­ку со­еди­не­ния при­дет от имени ра­бо­та­ю­ще­го хоста, то, когда сер­вер по­шлет в его адрес пакет SYN/ACK, хост от­ве­тит па­ке­том RST (reset), ини­ци­и­ру­ю­щим сброс со­еди­не­ния. И со­еди­не­ние будет уда­ле­но из па­мя­ти сервера.

При атаке SYN-flooding вы­де­лен­ная под уста­нов­ле­ние новых со­еди­не­ний па­мять сер­ве­ра быст­ро ис­чер­пы­ва­ет­ся, и се­те­вой сер­вис зависает.

Для про­ти­во­дей­ствия ата­кам SYN-flooding по­ми­мо уве­ли­че­ния раз­ме­ра па­мя­ти под уста­нав­ли­ва­е­мые со­еди­не­ния и умень­ше­ния тайм-аута на меж­се­те­вых экра­нах при­ме­ня­ют­ся раз­лич­ные хит­ро­ум­ные ме­то­ды борь­бы. Уста­нов­ка меж­се­те­вых экра­нов се­ан­со­во­го и при­клад­но­го уров­ня или ин­спек­то­ров со­сто­я­ний кар­ди­наль­но ре­ша­ет про­бле­му атак SYN-flooding, по­сколь­ку имен­но они от­ра­жа­ют все атаки, в то время как ком­пью­те­ры внут­рен­ней сети даже не знают об их проведении.

Стра­ни­ца 1 2 3 4 5

Дата добавления: 2014-01-05; Просмотров: 637; Нарушение авторских прав?; Мы поможем в написании вашей работы!