SYN Flood атака е вид DDoS атака, която има за цел да направи сървър недостъпен за легитимни потребители, като консумира всички налични сървърни ресурси. Нападателят осъществява връзка със сървъра, но без прекратяване.
Как се осъществява връзка със сървър?
Когато потребител се опитва да установи връзка със сървър, потребителят и сървърът обменят серия от съобщения, които изглеждат по този начин:
- Потребителят заявява връзка, чрез изпращане на SYN съобщение до сървъра.
- Сървърът отговаря на запитването, чрез изпращане на SYN-ACK съобщение.
- Потребителят отговаря на сървъра с ACK съобщение и връзката е установена.
Това се нарича тристранно ръкостискане или three-way handshake и е основата на всяка връзка, установена с помощта на TCP протокола.
Как работи SYN flood атаката?
- Нападателят изпраща голямо количество SYN съобщения към сървъра, често с подправени IP адреси.
- Сървърът отговаря на всяка една от заявките и оставя отворен порт, изчаквайки да получи отговор ACK.
- Докато сървърът изчаква да получи ACK съобщението, което не се изпраща, нападателя продължава да изпраща още SYN съобщения. Изпращането на всяко едно SYN съобщение, кара сървърът да поддържа отворени нови портове за определен период от време, докато всички налични портове не бъдат използвани.
Всяка заявка SYN изразходва част от ресурсите на атакувания сървър. Така се достига до момент, в който сървърът е претоварен и неспособен да обслужва реални заявки.
В мрежата, когато от едната страна на устройството има една отворена връзка, а от другата страна е затворена, връзката се счита за полуотворена. При този тип DDoS атака, таргетираният сървър непрекъснато оставя отворени връзки и чака да изтече времето на всяка една от тях.
Как може да се противодейства на SYN атака?
А ето и добри практики за противодействие на SYN атака:
Увеличаване на Backlog queue (опашката от неизпълнени заявки)
Всяка операционна система на едно устройство разрешава определен брой полуотворени връзки. Когато този брой се увеличи до максималния възможен за операционната система, вероятността да се справим с голямо количество SYN пакети е по-голяма.
За да се увеличи успешно опашката, системата се нуждае от достатъчно памет, за да се справи с всички нови заявки. Ако системата няма достатъчно памет да се справи с голямата опашка от неизпълнени заявки, това може да се отрази негативно на производителността на системата.
С увеличаване на опашката, системата трябва да работи за по-дълго по време на SYN flood атака за идентифициране и блокиране на фалшивия IP адрес, от който стартира атаката.
Намаляне на времето за изчакване (timeout)
Реално в операционната система може да се зададе време за изчакване за установяване на връзка. Когато това време изтече връзката автоматично се затваря и може да се използва от следващият изчакващ за такава.
SYN бисквитки
SYN бисквитките използват криптографско хеширане в ACK пакета, за да проверят връзките, преди да разпределят ресурсите на паметта.
При получаване на SYN пакет, сървърът създава уникален пореден номер и го изпраща с SYN-ACK пакета. Той не вмъква новата заявка в своята SYN опашка, освен ако не получи ACK отговор със същия уникален номер. Това гарантира, че SYN опашката не е претоварена с полуотворени връзки.
Използване на защитна стена
Защитната стена, може да замени SYN бисквитките и опасността от изразходване на всички сървърни ресурси. Интелигентните защитни стени, могат да идентифицират SYN flood атака, чрез мониторинг на SYN пакети и освобождаване на полуотворени връзки, за да са налични.
Една добра защитна стена, поддържа връзките на легитимните потребители по време на атака с голям обем. Защитните стени от нисък клас имат елементарни филтри за SYN атака, които могат да отхвърлят легитимни TCP сесии по време на SYN flood атака.
Надяваме се тази публикация да е била полезна за Вас. За да получавате първи информация за новите ни статии и промо оферти, анонирайте се за бюлетина ни.
