SYN атаки від повені: прості, але значно руйнівні

Автор: Judy Howell
Дата Створення: 26 Липня 2021
Дата Оновлення: 21 Червень 2024
Anonim
SYN атаки від повені: прості, але значно руйнівні - Технологія
SYN атаки від повені: прості, але значно руйнівні - Технологія

Зміст


Джерело: Aleutie / Dreamstime.com

Винос:

Завдяки приголомшливим 65 555 портам TCP, доступним на одній IP-адресі, легко зрозуміти, чому в Інтернеті існує так багато подвигів безпеки. Але хоча SYN-атаки навряд чи є новими, їх все ще важко вирішити.

Рівень прийнятного ризику очевидний, коли будь-який бізнес запускає веб-сайт і розміщує його в Інтернеті, відкриваючи свої двері для всіх відвідувачів. Що деякі підприємства можуть не усвідомлювати - це те, що деякі ризики є непереборними навіть для масових корпорацій та державних установ.Протягом середини-кінця 90-х рр. Один з типів нападів деструктивних побічних ефектів вважався майже нерозв'язним - і це залишається проблемою донині.

Його відомий як атака повені SYN. Завдяки приголомшливим 65 535 портам TCP, доступним для однієї IP-адреси, і все це може залишати будь-яке програмне забезпечення, яке слухає за тими портами, вразливе, легко зрозуміти, чому в Інтернеті так багато використання безпеки. SYN повінь покладається на те, що веб-сервери відповідатимуть на очевидно законні запити веб-сторінок, незалежно від того, скільки запитів зроблено. Однак, якщо зловмисник зробить безліч запитів, які потім залишають веб-сервер зв’язаним і не в змозі продовжувати подавати справді законні запити, стихійне лихо стане, і веб-сервер не вдасться. На базовому рівні саме так працюють повені SYN. Тут добре погляньте на деякі найпоширеніші типи атак SYN та те, що мережеві та системні адміністратори можуть зробити для їх пом'якшення.


Основи протоколу TCP: як працює SYN Flood

Завдяки явній відсутності будь-яких очевидних методів пом'якшення наслідків нападів SYN цілком справедливо побоювалися інтернет-компанії, коли вони вперше були ідентифіковані в природі.

Постійно опинившись під забороною різноманітних атак, те, що змусило повені SYN найбільш засмутити системи та адміністраторів мережі, було те, що, принаймні, трафік атак представляв себе як законний трафік.

Щоб оцінити простоту - можна сказати, красуню - цього аромату атаки, нам потрібно коротко ознайомитися з протоколом, відповідальним за значну частину трафіку міжмереж, протокол управління передачею (TCP).

Метою такої атаки є легке поглинання всіх доступних ресурсів веб-серверів, переконуючи сервер у його обслуговуючих даних законним відвідувачам. У результаті сервіс законним користувачам відмовляється в сервісі.

TCP-з'єднання, які використовуються для перегляду веб-сайтів і твітів, серед мільйонів інших онлайн-функцій, ініціюються з того, що називається тристороннім рукостисканням. Передумова рукостискання проста і коли з'єднані обидві сторони, цей складний протокол дозволяє використовувати такі функції, як обмеження швидкості, скільки даних буде отримувати сервер для одержувача, виходячи з того, яка пропускна здатність одержувача доступна.


Починаючи з пакету SYN (який означає синхронізацію), що надсилається від відвідувача або клієнта, сервер потім ефективно реагує на пакет SYN-ACK (або синхронізувати-підтвердити), який потім підтверджується відвідувачем, який є пакетом ACK власна у відповідь. У цей момент встановлено зв’язок і трафік може вільно протікати.

Ні помилок, ні стресу - покроковий посібник зі створення програмного забезпечення, що змінює життя, не руйнуючи ваше життя

Ви не можете покращити свої навички програмування, коли ніхто не піклується про якість програмного забезпечення.

Напад SYN-потоку обходить цей плавний обмін, не передаючи ACK серверу після відправлення його початкового SYN-ACK. Або цей пакет повністю пропущений, або відповідь може містити оманливу інформацію, таку як підроблена IP-адреса, таким чином, змушує сервер спробувати, а потім повністю підключитися до іншої машини. Це просто, але смертельно для будь-якого хоста, який поважає TCP.

Slowloris

Один варіант цього методу нападу, який зробив заголовки кілька років тому, називався Slowloris. Сайт Slowloris описує себе як "низьку пропускну здатність, але ще жадібний і отруйний HTTP-клієнт!" Сайт, безумовно, викликає занепокоєння при читанні та описує, як одна машина може "знімати веб-сервер інших машин з мінімальною пропускною здатністю та побічними ефектами на непов'язані сервіси та порти".

Далі пояснюється, що така атака насправді не є атакою відмови у службі TCP. Це, мабуть, тому, що створюється повне TCP-з'єднання, але, що важливо, лише частковий запит HTTP робиться для витягування веб-сторінки з сервера. Одним з побічних ефектів є те, що веб-сервер може дуже швидко повернутися до свого нормального робочого стану щодо інших атак.

Поряд з тією ж зловісною формою дизайну атак, ця функція може дозволити зловмиснику за короткий проміжок часу розгорнути якусь іншу короткочасну атаку, коли сервер бореться з потоком SYN, а потім повертає сервер так, як це було раніше, без бути поміченим

Тактика реагування на атаки від повені SYN

Оскільки націлені деякі гучні сайти, стало зрозуміло, що потрібна та негайна техніка пом'якшення наслідків. Проблема полягає в тому, що зробити сервер повністю непроникним для таких атак важко. Поміркуйте, наприклад, що навіть те, що відомо як розрив з'єднань, споживає ресурси сервера і може викликати інші головні болі.

Розробники Linux та FreeBSD відповіли на додаток до ядра під назвою файли cookie SYN, яке вже давно є частиною біржового ядра. (Хоча, на диво, не всі ядра включають їх за замовчуванням.) Файли cookie SYN працюють з тими номерами послідовностей TCP. Вони мають спосіб використовувати бажані порядкові номери, коли спочатку встановлено з'єднання, а також пом'якшують повені, скидаючи SYN-пакети, що сидять у їхній черзі. Це означає, що вони можуть обробляти набагато більше з'єднань, якщо потрібно. У результаті черга ніколи не повинна переповнюватися - принаймні теоретично.

Деякі опоненти відкрито виступають проти файлів cookie SYN через зміни, які вони вносять у з'єднання TCP. В результаті транзакції файлів cookie TCP (TCPCT) були введені для подолання будь-яких недоліків файлів cookie SYN.

Залишайтеся пильними, захищайте від нападів

Оскільки постійно збільшується кількість векторів нападу, а потім їх експлуатується в Інтернеті, важливо залишатися пильними у будь-який час. Певні типи атак змушують як тих, хто має добрі наміри, так і тих, хто має злісний намір вивчити нові методи захисту та атакувати системи. Одне напевне - це те, що уроки, отримані з простих, але складних атак, таких як SYN-повені, дають дослідникам безпеки ще більше уваги до того, як протоколи та програмне забезпечення брандмауера повинні розвиватися в майбутньому. Ми можемо лише сподіватися, що це користь для Інтернету взагалі.