syn -flood-ウィキペディア

Posted on by
before-content-x4

成功したTCPハンドシェイク

攻撃者(緑)は多くのsyn-を送信しますが、ACKパッケージはありません。半分のオープン接続は非常に利用されているため、通常のユーザー(紫)の要求を処理できません。

a syn-flood コンピューターシステムのサービス拒否攻撃(DOS)の形式です。攻撃は、TCPトランスポートプロトコルの接続構造を使用して、個々のサービスまたはコンピューター全体をネットワークから到達できないようにします。

after-content-x4

クライアントがサーバーへのTCP接続を確立したい場合、クライアントとサーバーは、いわゆる3ウェイハンドヘイクを実行して接続をセットアップします。図のように、通常のプロセスは次のとおりです。

  1. サーバー上のクライアント:フラグ付きのパッケージ 彼の 、 比較 (同期)
  2. サーバークライアント:MITフラグをパケットします ビジョン、ack 、確認されたことを比較してください (承認を同期する)
  3. サーバー上のクライアント:フラグ付きのパッケージ Ack 、 確認済み (認める) ;接続が確立されました。

悪意のあるクライアントは最後を行うことができます Ack – メッセージメッセージ。サーバーは、遅延のために遅れて到着する可能性があるため、しばらくの間対応するパッケージを待っています。

この間、クライアントのアドレスとまだ半分のオープン接続のステータスの両方が、後で接続を完全に確立できるように、ネットワークスタックのメモリに在庫に保たれます。すべてのオペレーティングシステムで、これはそのように呼ばれています 半開き サーバー上の接続リソース。リソースは常に限られているため、サーバーの「洪水」があります 彼の – これらすべてのリソースを使用することができるマート。これが事実になるとすぐに、サーバーに新しい接続を設定することはできません。これにより、アクセスの拒否につながります(サービス拒否)。 Synパッケージは非常に小さく、多くのコンピューティングがなくても生成できるという事実により、この攻撃は特に不均衡になります。弁護人は、攻撃者自身の攻撃者よりも多くのリソースを必要としています。

バリアントは、分散系サービス攻撃(DDO)の1つであるSyn-Flood反射攻撃です。 [初め] この攻撃では、ハーフオープンTCP接続を備えたサーバーの利用に焦点が当てられていますが、Proサーバーを備えた多数のサーバーが攻撃者によってより誤用され、想定される送信者にトリガーされた回答(Syn-Sackパッケージ)が送信されます。原則として、どのサービスが提供されていても、多くのサーバーで1つ以上のTCPポートが一般的にアクセスできる場合、この攻撃には十分です。サーバーあたりのTCP Synパッケージの数は攻撃者によってほとんど意図的に低く保たれているため、Syn-Flood反射攻撃はサーバーでさえ気付かない場合があります。これは反射器として乱用されます。

Syn Flood Reflection Attackのために、攻撃者はSynパッケージの送信者アドレスを偽造できる可能性を持たなければなりません。彼は、実際のアクセス可能なIP領域からIP申請者のアドレスを選択する必要があります。リフレクターとして乱用されたサーバーの数が十分に大きい場合、攻撃されたネットワークには多数のSyn-Sackパッケージが集中しています。目標は、一般的なネットワークの過負荷をもたらすことです。

after-content-x4

攻撃者にとってのSyn-Flood反射攻撃の利点は、強化要因があるという事実です。リフレクターとして誤用される多くの個別のサーバーのそれぞれは、通常、単一のSyn-Sackパッケージを使用して初期のSynパッケージに応答するだけでなく、このプロセスを繰り返します。通常の値は5〜7回の繰り返しですが、より高い値も達成できる場合があります。 [初め] このようにして、攻撃者は実際のターゲットネットワークの1つの要因ごとに要因を達成することができ、したがって、直接攻撃で可能になるよりも効率的にオーバーロードすることにより、攻撃されたネットワークを麻痺させることができます。

影響を受ける可能性のあるリソースには、TCP接続が保存されるテーブルが含まれます。サーバーの主なメモリは、二次効果の影響を受けることもあります。 SO -Called バックログキュー TCPスタックは、あまりにも多くのアクティブ接続の場合に同時にキューとして始まるが、メモリも必要です。

Syn-Floodsに対する考えられる測定値は、サーバーページにあります。

  • Syn-Cookiesメカニズム
  • rst-cookies
  • 疑わしい攻撃パターンを自動的に認識するインテリジェントファイアウォールによる攻撃の実際の時間分析。
  • プロキシサーバー
  • 最古のセミオープンTCP接続のリサイクル
  • synキャッシュ

ただし、これらの措置は、分散したサービス拒否攻撃(DDO)からこれらの措置を保護しない場合があります。一般に、イングレスフィルターの使用など、バックボーンなどの包括的なネットワークレベルに効果的な防御方法を実装する必要があります。

上記の対策の一部は回避できます。これは通常、TCP/IPヘッダーのランダム値を介して発生します。

可能な方法:

  • 各パッケージに別の送信者IPアドレスを使用します(IPスプーフィングによる)
  • 個々のパッケージ間で異なる長さの破損
  • ランダム送信ポート
  • 他のTCPフラグへのランダム中毒
  1. a b マークキューラー、トーマス・ヒューッパーリッチ、クリスチャン・ロッソウ、トールステン・ホルツ: 地獄の握手:反射的増幅DDOS攻撃のためにTCPを乱用します。 HorstGörtzInstitute for IT Security、Ruhr-University Bochum、 2019年11月1日にアクセス

after-content-x4