Inundația SYN

De la Wikipedia, enciclopedia liberă.
Salt la navigare Salt la căutare
O conexiune normală între un utilizator și un server. Strângerea de mână în trei pași are succes.
Inundația SYN. Un atac este efectuat de un utilizator rău intenționat care trimite mai multe pachete, dar nu returnează semnalul „ACK” către server. Prin urmare, conexiunile sunt stabilite doar parțial și utilizează resurse de server. Utilizatorul care dorește în mod legitim să se conecteze la server eșuează, deoarece serverul refuză să deschidă o nouă conexiune, creând astfel un atac de refuz de serviciu .

Inundația SYN este un atac de refuz de serviciu în care un utilizator rău intenționat trimite o serie de cereri SYN-TCP către sistemul atacat.

Când un client încearcă să inițieze o conexiune TCP la un server , clientul și serverul schimbă o serie de mesaje care sunt structurate de obicei după cum urmează:

  1. Clientul solicită o conexiune trimițând un mesaj SYN ( sincronizare ) către server și solicitând astfel sincronizarea numărului de secvență (segment de 32 de biți al TCP utilizat pentru a recunoaște pachetul trimis).
  2. Serverul recunoaște , adică răspunde la această solicitare prin trimiterea unui mesaj SYN-ACK către client și trimiterea numărului de secvență primit crescut cu o unitate. De asemenea, serverul alocă spațiu de memorie salvând solicitarea făcută de client.
  3. Clientul răspunde cu un ACK iar serverul tratează cererea făcută la punctul 1 de către client, permițând efectiv conexiunea să aibă succes.

Acest proces se numește TCP three-way handshake ( strângere de mână în trei direcții) și este baza pentru fiecare conexiune stabilită utilizând protocoalele TCP / IP.

În inundația SYN, conexiunea respectă principiul de strângere de mână în trei direcții modificat pentru a dezactiva serviciile de internet destinate utilizatorilor. Mai exact, atacatorul poate folosi două tehnici distincte pentru a-și înscrie atacul, care sunt analizate mai jos:

Tehnica 1

  1. Atacatorul solicită o conexiune la server folosind spoofing, adică își ascunde adresa IP cu o altă adresă IP.
  2. Serverul răspunde la solicitarea trimisă de clientul rău intenționat cu un SYN-ACK la adresa IP incorectă.

În acest moment conexiunea va rămâne deschisă (adică va fi în starea pe jumătate deschisă ) deoarece nu va primi niciodată mesajul ACK de la client.

Tehnica 2

  1. Atacatorul solicită o conexiune la server prin trimiterea unei cereri SYN.
  2. Serverul răspunde la solicitarea trimisă de client cu un SYN-ACK.

În acest caz, clientul decide intenționat să nu răspundă și, prin urmare, să stabilească o conexiune cu serverul, lăsând efectiv conexiunea deschisă.

Neavând închise conexiunile, serverul se află în ambele cazuri într-o stare vulnerabilă la orice posibil atac rău intenționat.

De multe ori inundația SYN este utilizată doar ca fază inițială a altor atacuri mult mai sofisticate.

Tipuri de atacuri

Principalele moduri în care apar atacurile de inundații SYN sunt diferite și sunt descrise mai jos:

  • Atac direct

În acest tip de atac, atacatorul trimite mai multe cereri SYN în succesiune rapidă, fără să-și ascundă chiar adresa IP. Pentru a fi mai eficient, atacatorul își poate modifica sistemul pentru a nu răspunde la SYN-ACK.

  • Atac distribuit

Atacurile directe distribuite sunt un tip de atac care permite atacatorului să nu mai folosească o singură mașină, ci să se bazeze pe N mașini. Acest lucru permite fiecărei mașini să lanseze un atac direct folosind și tehnica de spoofing, cu consecința dificultății victimei de a se apăra împotriva diferitelor atacuri de inundații SYN. În prezent, aceste atacuri sunt posibile, deoarece există rețele de multe mașini, așa-numitele Botnets , care permit diferiților infractori cibernetici să lanseze atacuri fără a fi recunoscuți.

  • Atac de falsificare

În acest tip de atac, atacatorul care folosește spoofing, reușește să creeze o conexiune (cerere SYN) cu serverul victimei, care răspunde cu un SYN-ACK. Cu toate acestea, serverul nu va primi niciodată un răspuns de la atacator, lăsând astfel conexiunea deschisă și provocând aglomerație de trafic pe server.

Tehnici de apărare împotriva eventualelor atacuri

De-a lungul anilor, în urma diferitelor atacuri lansate de diverși utilizatori rău intenționați, au fost implementate diferite metode de prevenire menite să evite sau, cel puțin, să limiteze daunele cauzate de acest tip de atac. Diferitele metode sunt următoarele:

  • Reducerea timpului de conexiune

Prin reducerea intervalului de conexiune, este posibil să se evite parțial inundațiile SYN, însă atacatorul ar putea crește semnificativ frecvența de trimitere a pachetelor.

  • Utilizarea IDS (Intrusion Detect System)

Instrument software care este capabil să identifice accesul neautorizat și, în consecință, atacurile rău intenționate.

  • Măriți coada de conectare

Creșterea cozii de conectare înseamnă că serviciul rămâne disponibil chiar și în fața unei cantități semnificative de solicitări de inundații SYN trimise, totuși această soluție trebuie evitată deoarece riscă să supraîncărce sistemul.

  • Cookie-uri

Recent, au fost dezvoltate multe cookie-uri sofisticate care sunt capabile să distingă conexiunile „sigure” de cele potențial rău intenționate datorită diferitelor protocoale.

  • Instalarea de software antivirus și software actualizat

Instalați software capabil să identifice și să verifice anomaliile și / sau posibilele amenințări din rețea. Printre cele mai recente software foarte eficiente împotriva inundațiilor SYN se numără Junos OS și Cisco Routers.

  • Prag de atac

Opțiune care vă permite să activați automat mecanisme de apărare atunci când sunt depășite o serie de cereri SYN. Pentru a utiliza corect acest mecanism, trebuie să fiți familiarizați cu traficul normal de date din rețeaua dvs. De exemplu, dacă un site web are în medie 10000 de cereri SYN / sec, pragul poate fi setat la o valoare de 15000. Odată ce această limită este depășită, un program este lansat automat pentru a preveni cereri suplimentare.

  • Prag de alarmă

Mecanism care permite trimiterea unei pre-alarme dacă se depășește pragul stabilit de utilizator pentru conexiunile pe jumătate completate . De exemplu, dacă decideți să setați pragul de atac SYN / sec la 10000 și pragul de alarmă la 1000, odată ce această valoare este depășită, se declanșează o alarmă care este reactivată la fiecare câteva secunde până când revine sub prag. Prestabilit.

Elemente conexe

linkuri externe

Securitate IT Portal de securitate cibernetică : accesați intrările Wikipedia care se ocupă de securitatea cibernetică