Inundația SYN
Inundația SYN este un atac de refuz de serviciu în care un utilizator rău intenționat trimite o serie de cereri SYN-TCP
către sistemul atacat.
Când un client încearcă să inițieze o conexiune TCP la un server , clientul și serverul schimbă o serie de mesaje care sunt structurate de obicei după cum urmează:
- Clientul solicită o conexiune trimițând un mesaj
SYN
( sincronizare ) către server și solicitând astfel sincronizarea numărului de secvență (segment de 32 de biți al TCP utilizat pentru a recunoaște pachetul trimis). - Serverul recunoaște , adică răspunde la această solicitare prin trimiterea unui mesaj
SYN-ACK
către client și trimiterea numărului de secvență primit crescut cu o unitate. De asemenea, serverul alocă spațiu de memorie salvând solicitarea făcută de client. - Clientul răspunde cu un
ACK
iar serverul tratează cererea făcută la punctul 1 de către client, permițând efectiv conexiunea să aibă succes.
Acest proces se numește TCP three-way handshake ( strângere de mână în trei direcții) și este baza pentru fiecare conexiune stabilită utilizând protocoalele TCP / IP.
În inundația SYN, conexiunea respectă principiul de strângere de mână în trei direcții modificat pentru a dezactiva serviciile de internet destinate utilizatorilor. Mai exact, atacatorul poate folosi două tehnici distincte pentru a-și înscrie atacul, care sunt analizate mai jos:
Tehnica 1
- Atacatorul solicită o conexiune la server folosind spoofing, adică își ascunde adresa IP cu o altă adresă IP.
- Serverul răspunde la solicitarea trimisă de clientul rău intenționat cu un SYN-ACK la adresa IP incorectă.
În acest moment conexiunea va rămâne deschisă (adică va fi în starea pe jumătate deschisă ) deoarece nu va primi niciodată mesajul ACK de la client.
Tehnica 2
- Atacatorul solicită o conexiune la server prin trimiterea unei cereri SYN.
- Serverul răspunde la solicitarea trimisă de client cu un SYN-ACK.
În acest caz, clientul decide intenționat să nu răspundă și, prin urmare, să stabilească o conexiune cu serverul, lăsând efectiv conexiunea deschisă.
Neavând închise conexiunile, serverul se află în ambele cazuri într-o stare vulnerabilă la orice posibil atac rău intenționat.
De multe ori inundația SYN este utilizată doar ca fază inițială a altor atacuri mult mai sofisticate.
Tipuri de atacuri
Principalele moduri în care apar atacurile de inundații SYN sunt diferite și sunt descrise mai jos:
- Atac direct
În acest tip de atac, atacatorul trimite mai multe cereri SYN în succesiune rapidă, fără să-și ascundă chiar adresa IP. Pentru a fi mai eficient, atacatorul își poate modifica sistemul pentru a nu răspunde la SYN-ACK.
- Atac distribuit
Atacurile directe distribuite sunt un tip de atac care permite atacatorului să nu mai folosească o singură mașină, ci să se bazeze pe N mașini. Acest lucru permite fiecărei mașini să lanseze un atac direct folosind și tehnica de spoofing, cu consecința dificultății victimei de a se apăra împotriva diferitelor atacuri de inundații SYN. În prezent, aceste atacuri sunt posibile, deoarece există rețele de multe mașini, așa-numitele Botnets , care permit diferiților infractori cibernetici să lanseze atacuri fără a fi recunoscuți.
- Atac de falsificare
În acest tip de atac, atacatorul care folosește spoofing, reușește să creeze o conexiune (cerere SYN) cu serverul victimei, care răspunde cu un SYN-ACK. Cu toate acestea, serverul nu va primi niciodată un răspuns de la atacator, lăsând astfel conexiunea deschisă și provocând aglomerație de trafic pe server.
Tehnici de apărare împotriva eventualelor atacuri
De-a lungul anilor, în urma diferitelor atacuri lansate de diverși utilizatori rău intenționați, au fost implementate diferite metode de prevenire menite să evite sau, cel puțin, să limiteze daunele cauzate de acest tip de atac. Diferitele metode sunt următoarele:
- Reducerea timpului de conexiune
Prin reducerea intervalului de conexiune, este posibil să se evite parțial inundațiile SYN, însă atacatorul ar putea crește semnificativ frecvența de trimitere a pachetelor.
- Utilizarea IDS (Intrusion Detect System)
Instrument software care este capabil să identifice accesul neautorizat și, în consecință, atacurile rău intenționate.
- Măriți coada de conectare
Creșterea cozii de conectare înseamnă că serviciul rămâne disponibil chiar și în fața unei cantități semnificative de solicitări de inundații SYN trimise, totuși această soluție trebuie evitată deoarece riscă să supraîncărce sistemul.
- Cookie-uri
Recent, au fost dezvoltate multe cookie-uri sofisticate care sunt capabile să distingă conexiunile „sigure” de cele potențial rău intenționate datorită diferitelor protocoale.
- Instalarea de software antivirus și software actualizat
Instalați software capabil să identifice și să verifice anomaliile și / sau posibilele amenințări din rețea. Printre cele mai recente software foarte eficiente împotriva inundațiilor SYN se numără Junos OS și Cisco Routers.
- Prag de atac
Opțiune care vă permite să activați automat mecanisme de apărare atunci când sunt depășite o serie de cereri SYN. Pentru a utiliza corect acest mecanism, trebuie să fiți familiarizați cu traficul normal de date din rețeaua dvs. De exemplu, dacă un site web are în medie 10000 de cereri SYN / sec, pragul poate fi setat la o valoare de 15000. Odată ce această limită este depășită, un program este lansat automat pentru a preveni cereri suplimentare.
- Prag de alarmă
Mecanism care permite trimiterea unei pre-alarme dacă se depășește pragul stabilit de utilizator pentru conexiunile pe jumătate completate . De exemplu, dacă decideți să setați pragul de atac SYN / sec la 10000 și pragul de alarmă la 1000, odată ce această valoare este depășită, se declanșează o alarmă care este reactivată la fiecare câteva secunde până când revine sub prag. Prestabilit.
Elemente conexe
linkuri externe
- Observație de la CERT despre atacurile SYN , la cert.org .