Contactos
el principal

SYN Ataques de Inundación. Protection Linux Server de Syy Flood: Fundamentos y métodos. Si nada ayuda

Spooofed SYN es un ataque en el que los encabezados de paquetes se forjan de tal manera que el lugar del remitente real toma una dirección IP arbitraria o inexistente.

Dado que esencialmente syn es una herramienta frecuente " lucha competitiva intensiva"Y al mismo tiempo, la mayoría de las soluciones de mitigación de DDOS muestran una eficiencia impresionante en esta forma de ataques, entonces comenzaremos con Syn-Flood, considerando el tipo de ataque Spooofed como el más formidable de ellos.

Desconocidos

Descargo de responsabilidad número 1.
Todos los descritos en este y los temas posteriores, de hecho, no se conocen. Todas las técnicas están abiertas, y de todos modos (algunos, desde 2003) se publicaron en fuentes abiertas. Tomé el trabajo solo para reducirlos en uno y describirlo " estrategia global»Protección orientada a la protección administradores del sistemaservir pequeños proyectos ubicados en servidores resaltados (la estrategia descrita se puede aplicar en proyectos compartidos, pero la implementación será así cansada Terrible que no hay deseo de escribir sobre eso)
Descargo de responsabilidad número 2.
En el tema no considerado Soluciones de defensa de hardware: en primer lugar, se consideran perfectamente considerados en numerosos artículos de fabricantes de estas mismas soluciones, en segundo lugar, los proyectos que tienen un servidor a menudo no pueden brindarlos (aproximadamente hablando, el precio de las soluciones de trabajo comienza a partir de 20 mil euros), tercero - el El autor no tiene datos y experiencia suficientes en el trabajo con tales hierro especializado, para hacer conclusiones globales sobre los métodos y la efectividad de dicha protección, no es interesante para alguien una visión general de las decisiones de dos proveedores de una docena, no apoyada por el trabajo serio Estadísticas de su uso. Pero vale la pena señalar que ambas soluciones de hardware que tuve que usar son generalmente muy efectivas en los ataques de syn. al realizar una serie de condiciones.
Descargo de responsabilidad número 3.
En el tema no considerado Los prolongados de protección contra los ataques de DDOS: los ingenieros de servicios de estas organizaciones podrán describir mejor y más sus métodos de trabajo. Probablemente valdría la pena hacer una revisión de los propios proveedores como tal, desde el punto de vista del cliente (en diferentes momentos, los proyectos en los que participé fueron clientes de Dragonara, Blacklotus, Gigenet, VistNet (actualmente), proleáceos (actualmente) y una serie de vendedores de los servicios de las empresas anteriores), pero se elimina del marco del tema, intentemos hablar de ello más tarde. Nuevamente, vale la pena señalar que todos los proveedores de la protección que trabajan o trabajan los proyectos del autor deben hacer frente al problema de los ataques de SYN, mostrando una buena eficiencia.

Algunos mecánicos y wikipedia.

No me gustaría convertir el tema en la apariencia de RFC y citar, por lo tanto, todas las verdades bien conocidas, por lo tanto, se limitaremos al hecho de que el TCP es interesante desde el punto de vista del ataque de SYN y se ejecuta en el cima.

Primero, TCP es uno de los protocolos de transporte más utilizados, además de los cuales se encuentran los protocolos más aplicados. En segundo lugar, tiene una serie de características especiales (inicio claramente confirmado y finalización de la conexión, control de flujo, etc.), lo que lo convierte en un relativamente complejo y intensivo por recursos.

En el contexto del artículo, es interesante considerar el mecanismo de conexión TCP, un apretón de manos tripartito. En la primera aproximación en el nivel "cliente-servidor", se ve así: el cliente envía el servidor Syn-Pack a la que SYN + ACK. Clyient envía un ACK en respuesta a un servidor SYN y la conexión se encuentra en el estado de el instalado.

Syn Attack: enviando a un puerto abierto de la masa de paquetes SYN, que no conducirá a la instalación de una conexión real por una u otra razones, lo que implica la creación de "conexiones medio abiertas" que desbordan la cola de conexión, forzando el Servidor para negarse a mantener a los clientes habituales. Además, TCP RFC obliga al servidor a responder a cada SYN entrante, que además late tanto a través de los recursos del servidor como a través del canal de datos. En otras palabras, si ya se ha encontrado en esencia, por cualquier Atacantes DDOS - Descrito anteriormente, ya sabes sin mí. Ir a recomendaciones específicas.

Uno en el campo

Usa lo que está a la mano, y no busquemos otra cosa, ¿qué se puede hacer, estar solo con un ataque? Honestamente, no mucho, pero sucede que hay suficiente para eso. Esto describe qué hacer con FreeBSD, como en nuestros proyectos en el 90% de los casos, se utiliza este sistema. Sin embargo, la diferencia será pequeña del sistema operativo al sistema operativo: los principios son los mismos.

Primero - Es necesario acceder al servidor (sí, esto también puede ser difícil, especialmente si el ataque es de gran escala y / o largo, el servidor simplemente elige todos los búferes o tiene una carga de CPU 100%). Por lo general, es suficiente cerrar el servicio atacado del firewall o simplemente, el servicio es pagar (sin embargo, cuando se detecte un ataque, debe hacerse de todos modos, al menos para poder hacer algo más en el servidor).

Segundo - Obtener la primera información sobre el ataque. Si ya se ha hecho para monitorear el tráfico entrante, excelente, si no, abra el firewall / elevar el servicio y usar el TCPDUMP y NetStat, para descubrir lo que atacó y cuál es el tamaño del ataque en los paquetes por segundo. En el camino, puede ver rápidamente las redes a partir de las cuales las solicitudes de masas van, ya sean en una audiencia típica para su servicio. Todo esto es útil en el futuro.

Tercero - En la interfaz donde se encuentra la dirección IP atacada, solo uno debe permanecer. Cada alias reducirá el rendimiento del sistema. Se expresa en diferentes números para diferentes sistemasPero estos números son graves, cada alias puede costar 2-3 miles de paquetes adicionales por segundo.

Cuatro - Si está utilizando cualquier firewall para el tráfico entrante en una dirección atacada, todas las reglas, excepto que el bloqueo debe estar deshabilitado, por ejemplo, con Spooofed Syn-Ataque la probabilidad de que Syn-Proxy de PF ayude a cero, y la CPU tomará muy en serio.

Quinto - Configurar el sistema. Los milagros aquí no serán, para ellos, necesitas un piano en los arbustos en forma de conductores preparados y comprado especialmente. tarjetas de red, y las únicas dos recomendaciones generales que se reflejan seriamente en la posibilidad de recibir ataques de syn han sido conocidos durante mucho tiempo a todos:
- Madify el procesamiento de interrupciones en los procesadores de servidores;
- Habilite las cookies syn-cookies y deshabilite el syn-caché.

El resto del sistema de sintonización ayudará a exprimir 5-10 mil paquetes adicionales, que en las condiciones del ataque es poco probable que se determine. En caso de que, si es útil para alguien, esta es la configuración máxima común (sin la inclusión de opciones que requieren el núcleo de rebelación o los controladores especializados):

Net.isr.direct \u003d 1 kern.ipc.nmbclusters \u003d 400000 net.inet.tcp.nolocaltimewait \u003d 1 net.inet.tcp.recdspace \u003d 16384 net.inet.tcp.sendspace \u003d 32768 net.inet.tcp.msl \u003d 5000 net.inet.tcp.blackhole \u003d 1 net.inet.iP.intr_queueue_maxlen \u003d 3000 net.inet.tcp.blackhole \u003d 2 net.inet.udp.blackhole \u003d 1 net.inet.icmp.log_redirect \u003d 1 net.inet.IP .redirect \u003d 0 net.inet.icmp.maskrepl \u003d 1 net.inet.tcp.syncookies_only \u003d 1 net.route.netisr_maxqlen \u003d 4096 kern.ipc.maxsockbuf \u003d 83886080 net.inet.ip.intr_queue_maxlen \u003d 10240
El sistema de la computadora de escritorio configuró de acuerdo con estas recomendaciones:

PRIMER # NETSTAT -W1 -H ENTRADA DE INTENCIÓN (TOTAL) Paquetes de salida ERRS IDROPS BYTES PAQUETES PAQUETES ERRS BYTES COLLS DROPS 260K 0 0 15M 230K 0 13m 0 0 0 0 0
El sistema de nivel IBM System X3630 M3 configurado de acuerdo con estas recomendaciones:

Segundo # NetStat -W1 -H -D INTENCIÓN (TOTAL) Paquetes de salida ERRS IDROPS BYTES PAQUETES PAQUETES ERRS BYTES COLLS DROPS 477K 0 0 36M 457K 0 25m 0 0 0 0
Configuraciones detalladas de sistema operativo y máquinas, y, de hecho, como vinimos exactamente a ellos, intentaré contarlo en el siguiente tema.

Una cosa esta hecha

Qué hacer además de ajustar el sistema en principio, hay algo que hacer.

Vale la pena hacer una pequeña digresión: la mayoría de las compañías de alojamiento ayudarán en la lucha contra el ataque extremadamente reacio, si son útiles, y en esto es difícil culparlos. Pero al menos proporcionarán datos sobre el ataque, si tiene que trabajar con proveedores de protección, esto, junto con la información recopilada por usted durante el ataque, facilitará enormemente la vida.

Si el arostro atrapó comprensivo (lo que realmente frecuencia) - trabajamos de acuerdo con el siguiente algoritmo - Paralelamente y bloqueado, bloque y paralelo.:
Si tenemos varias tarjetas de red (si no, pedimos que lo coloquemos), conviértalos en el modo LACP (para esto, debe incluir opciones similares en el interruptor de alquiler): esto realmente considerará el aumento de rendimiento (sutilezas separadas del proceso Lo veremos más tarde, argumentarnos inmensos dentro del tema no funciona de ninguna manera), salimos a tal productividad:

Segundo # NetStat -W1 -H -D INTENCIÓN (TOTAL) Paquetes de salida ERRS IDROPS BYTES PAQUETES PAQUETES ERRS BYTES COLLS DROPS 1.2M 16K 0 65M 1.1M 0 59M 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 59m 0 0
Por favor, bloquee todos los puertos y protocolos no utilizados: el ataque SYN puede cambiar fácilmente el ataque de UDP.
En realidad, cualquier compañía de Hosnith es capaz de estas acciones. Pero si tuviera la suerte de trabajar con una compañía seria, pídale que bloquee el tráfico de la región, donde la mayor parte de la audiencia de su proyecto (por ejemplo, China) no vive, por lo general, esto significa el anuncio de Blexolon para su red para su red Los principales proveedores de una determinada región. Como regla general, el ataque de SYN está hecho de Asia, debido a la baratura y la masa, y, por lo tanto, tal anuncio puede ayudar en serio en la lucha contra el ataque o incluso excluir su posibilidad.

Además de las medidas descritas anteriormente, puede asesorar a utilizar el servicio de geodnas, en ciertas condiciones (el ataque se lleva a cabo en un dominio, por ejemplo), funcionará de manera similar al anuncio de Blexol para ciertas redes.

Finalmente

Espero que el artículo le ayude a enfrentar el problema de Syn-Flud, no excediendo el presupuesto anual de cualquier país africano. Por supuesto, solo las recomendaciones más generales se dan aquí, pero créeme, en el 90% de los casos, son bastante suficientes. Y lo más importante, ¡no pánico!

UPP. La continuación se encuentra en las etapas de la escritura, y pronto se presentará aquí. ¡Quédate con nosotros!

11.11.2012

Cerca de la flotación.se entiende por un enorme flujo de datos en forma de mensajes, que se envía para adaptarse a todo tipo de foros y chats. Si miras el punto de vista técnico, inundación. - Este es uno de los más comunes. especies de ataque informático., y su objetivo es enviar dicha cantidad de solicitudes que el equipo del servidor se verá obligado a realizar fallo de servicio Servicios de usuario. Si un ataque en equipos informáticos. Se lleva a cabo con un gran número de computadoras, luego está tratando.

Hay varios tipos de ataques DDOS con inundaciones, la principal de ellos se enumeran a continuación:

  • Syn-ACK-FLUD
  • Http-inundación
  • Inundación de ICMP
  • Udp-inundado

Syn-ACK-FLUD

Syn-ACK-FLUD - uno de los tipos ataques de redque se basa en enviar una gran cantidad de consultas SYN por unidad de tiempo. El resultado será la falla del servicio cuyo trabajo se basó en el protocolo TCP. Al principio, el cliente intercambiará un paquete que contenga la bandera de SYN, la presencia de los cuales indica el deseo de establecer una conexión. El servidor, a su vez, envía un paquete. Además, excepto la bandera de SYN, hay un indicador de ACK que paga la atención del cliente al hecho de que la solicitud es aceptada y confirmada la confirmación del establecimiento de la conexión de un cliente. Responde con un paquete con la bandera ACK sobre una conexión exitosa. Todas las solicitudes de "Conectar" de las tiendas de servidores de clientes en línea de un determinado tamaño. Las solicitudes se almacenan en la cola antes de regresar del cliente de ACK Flag. El ataque de SYN se basa en enviar un servidor de paquetes desde una fuente inexistente, la cantidad excede el tamaño de la cola. El servidor simplemente no podrá responder al paquete en la dirección ficticia. La cola no disminuirá y el servicio dejará de funcionar.

Http-inundación.

Http-inundad. - se aplica en caso de servicio con base de datos. El ataque está dirigido a tuyo en servidor web.O en el script trabajando con la base. Dirigiendo fuera gran cantidad Obtenga solicitudes a 80 puertos, de modo que el servidor web no haya podido prestar la debida atención a las solicitudes de otro tipo. Los archivos de registro aumentan, y trabajar con la base de datos se vuelve imposible.

Inundación de ICMP

Inundación de ICMP - manera simple reduciendo el rendimiento y mayor cargas En la pila mediante el envío del mismo tipo de solicitudes de ping de ICMP. Peligroso en caso de prestación pequeña. pantallas de redDado que el servidor que responde a Echo Infinite Solicitudes está condenado. Entonces, en el caso del mismo número de tráfico entrante y saliente, simplemente registre las reglas en iptables.

Udp-inundado

Udp-inundado - De otra manera reclamar ancho de bandaBasado en trabajar con un protocolo que no requiere sincronización antes de enviar datos. El ataque se reduce al paquete de premisa habitual en el puerto del servidor UDP. Después de recibir el paquete, el servidor comienza a procesarlo duro. El cliente envía los paquetes UDP del contenido incorrecto uno por uno. Como resultado, los puertos ya no funcionarán y el sistema fallará.

En principio, para determinar. tipo DDOS Attack A menudo no es necesario pasar mucho tiempo. Es suficiente saber varios signos. Si significativo el tamaño del archivo de registro ha aumentado. - tratas con Http-inundación. Si un acceso limitado al servicio. Como resultado de exceder el número de conexiones permitidas, esta Syn-ACK-FLUD. Si el tráfico saliente y entrante es aproximadamente igual. - tratas con ICMP-FLUD.. Lo principal es no olvidarse de mantener. seguridad de su servidor. De DDOS y le dan la debida atención. Lo mejor es cuidar

Una inundación de SYN es una forma de ataque de denegación de servicio en el que un atacante envía una progresión de las solicitudes de SYN al marco de un objetivo que intenta consumir suficientes activos de servidor a la actividad auténtica.

Apretón de manos de tres vías TCP

Normalmente, cuando un cliente comienza una conexión TCP con un servidor, el cliente y el servidor intercambian una progresión de Messaz, que se ejecuta regularmente de esta manera:

1) El cliente solicita una conexión enviando un mensaje SYN (SynChronize) al servidor.

2) El servidor reconoce esta solicitud enviando SYN-ACK de nuevo al cliente.

3) El cliente reacciona con un ACK, y la conexión está acumulada.

Esto se conoce como el apretón de manos de tres vías TCP, y es el establecimiento para cada configuración de conexión que utiliza el protocolo TCP.

TRABAJO DE ATAQUE DE INUNDACION SYN

Un ataque de inundación SYN funciona al no reaccionar al servidor con el código ACK normal. El cliente pernicioso puede no enviar básicamente el ACK normal, o satirizando la dirección IP de origen en la símena, que lleva a Abyde el servidor para enviar el Syn-ACK a una dirección IP distorsionada, que no enviará un ACK en los terrenos que "Sabe" que nunca envió un SIN.

El usuario se sentará apretado por la afirmación durante bastante tiempo, ya que la clavícula del sistema sencillo también podría ser la razón del ACK que falta. En cualquier caso, en un ataque, las conexiones medio abiertas hechas por los recursos perniciosos de la vínculo con el cliente en el servidor y pueden a largo plazo superar los recursos accesibles en el servidor. Para entonces, el servidor no puede acceder a ningún cliente.

Seguridad contra los ataques de inundación SYN

Hay varias contramedidas seguramente entendidas, incluyendo:

1) Filtración

2) Creciente retroceso.

3) TCP medio abierto:El término alude medio abierta a las asociaciones de TCP cuyo estado está fuera de la sincronización entre los dos potencialmente debido a un accidente en un lado. Una conexión que se está configurando se denomina una conexión embrionaria. La ausencia de sincronización podría ser debido al propósito maligno. Una conexión TCP se desvela a la mitad de la mitad cuando el huésped hacia un lado de esa asociación TCP se ha golpeado, o generalmente ha evacuado el accesorio sin informar el lado del volteador. En el caso de que la Asociación pueda permanecer en el estado medio abierto para marcos de tiempo ilimitados. En estos días, el término asociación medio abierta se usa regularmente para retratar una conexión embrionaria, es decir, Una conexión TCP que se está configurando.

El Convenio TCP tiene un marco estatal de tres estados para abrir una conexión. Para empezar, el punto final inicial (A) envía un paquete SYN al destino (B). A se encuentra actualmente en un estado embrionario (particularmente, Syn_Sent), y anticipando una reacción. B Ahora rediseña sus datos de la parte para demostrar la conexión que se aproxima de A, y transmite una solicitud para abrir un canal hacia atrás (el paquete SYN / ACK). Ahora, B es adicionalmente en un estado embrionario (particularmente, SYN_RCVD). Tenga en cuenta que B fue puesto en este estado por otra máquina, fuera del control de B.

Bajo las condiciones típicas (consulte Foreswearing of-Administration Ataque por casos decepcionados conscientes), A obtendrá el SYN / ACK de B, revincúan sus tablas (que ahora tienen datos suficientes para un para enviar y obtener) y enviar un último ack a B. Cuando B obtiene este último ACK, además tiene datos adecuados para la correspondencia de dos vías, y la conexión está completamente abierta. Ambos puntos finales están actualmente en un estado establecido.

4) Firewalls y proxies

5) Reducir el temporizador sincronizado

6) SYN Cache

7) Reciclar el TCP medio abierto más antiguo.

8) Enfoques híbridos.

9) Syn Cookies:Syn Cookie es una estrategia utilizada para oponerse a los asaltos de Syn Surge. Daniel J. Bernstein, el creador esencial del procedimiento, caracteriza los sínimos como "decisiones específicas de los números de disposición TCP iniciales por los servidores TCP". La utilización de syn golosinas permite que un servidor se abstenga de disminuir las asociaciones cuando la línea SYN se apague. Más bien, el servidor lleva a cabo como si la línea SYN se había ampliado. El servidor envía la reacción adecuada SYN + ACK al cliente, pero dispone de la sección de la línea SYN. En el caso de que el servidor obtenga una reacción de ACK resultante del cliente, el servidor puede reproducir la sección de la línea de syn que utiliza datos codificados como parte del número de sucesión de TCP.

Si necesita más ayuda, póngase en contacto con nuestro departamento de soporte.

¿De verdad crees que sabes todo sobre DOS? ¡Entonces lee!

Denegación de servicio (DOS), ataques de rechazo, se han vuelto más peligrosos y más fáciles. DOS es una variedad
Ataques de red (de gusanos a syn inundación), cuyo objetivo es hacer que el servidor no esté disponible para los usuarios. 'Reflexión distribuida' Este es un nuevo tipo de ataques de DOS que utilizan Syy Flood "a. Su característica es que los millones de paquetes SYN no se envían al servidor atacado, se envían al servidor del enrutador y la respuesta llega a la servidor de destino. PERO
Enrutadores hay millones!

Para entender cómo funciona todo y por qué es tan importante.
Recordemos algo ... Confirmación Las conexiones TCP se producen al compartir tres paquetes entre dos
Las computadoras, el llamado apretón de manos. Aquí hay un esquema aproximado:

  • SYN Cliente (navegador web, cliente FTP, etc.) ingresa la comunicación con el servidor, enviándole un paquete SYN.
  • SYN / ACK: cuando se obtiene una solicitud de conexión (Syn Package) abrir porta Servidores, confirma la conexión enviando el cliente SYN / ACK al paquete.
  • ACK: Cuando el cliente recibe una confirmación del paquete SYN / ACK Server para la comunicación esperada, luego responda por el paquete ACK.

¿Lo que está sucediendo?

Los ataques tradicionales de "SYN INLLANTING DOS" trabajan en dos principios:

  • Una máquina "One-one", se refiere suficientes paquetes de SYN para bloquear el acceso al servidor.
  • "Muchos", muchos programas de Zombie,
    Instalado en diferentes servidores, ataca a los paquetes de la máquina de destino.

El uso de paquetes de "inundación de syn de reflexión" se envían,
Pero con la dirección IP de origen que indica la máquina de destino. La conexión TCP utilizando estos tres paquetes requiere cualquier servicio TCP que reciba un paquete SYN respondido por el paquete SYN / ACK. Servidor o enrutador que obtiene estos paquetes Fake Syn Envíe las respuestas SYN / ACK a la máquina especificada por los paquetes SYN con la dirección de origen
IP. Protocolo primario de internet e infraestructura.
¡Las redes se utilizan contra sí mismas!

En detalles

Cualquier comunicación TCP con un servidor de propósito general se puede usar para "reflejar" los paquetes SYN. Aquí
Lista corta de los puertos TCP más populares:
22 (Secure Shell), 23 (Telnet), 53 (DNS) y 80 (http / web). Y en realidad enrutador "en todo el internet serán confirmados por la comunicación TCP en
179 Puerto. Estimemos el potencial de este ataque:

  • Utiliza el protocolo fundamental de las comunicaciones de Internet;
  • Máquinas que utilizan este protocolo, hay millones;
  • extremadamente fácil de organizar un ataque de ataque '
    Reflectores '.

Puede ser bastante fácil construir una lista,
en el que se enumerarán las rugas y
Servidores que responden a los paquetes SYN. Teniendo
Gran lista de "reflectores" de SYN, cada uno.
Hacker puede distribuir syn falso
Paquetes uniformemente a través de todo el juego.
Enrutadores / servidores en la lista. Ninguno de los "reflectores" inocentes no experimentará
carga de red sustancial. Los enrutadores no guardan informes sobre paquetes con solicitudes de
Pre-conexión, lo hace
El seguimiento de ataque es extremadamente difícil.

"Reflectores" (enrutadores y servidores) se enviarán en tres o cuatro veces gran cantidad SYN / ACK Paquetes que el número de paquetes SYN que ellos
obtener. Conexión TCP que recibe el comando
SYN, espera respuesta de ACK desde el auto al que envió
SYN / ACK Paquete, por lo que la computadora se envía a otras respuestas SYN / ACK en unos pocos minutos. Esta característica del protocolo TCP se multiplica esencialmente por el número de paquetes maliciosos de SYN / ACK enviados a la máquina de destino a tres o cuatro. También significa que la inundación SYN / ACK
Los paquetes continuarán atacando al servidor de destino por un minuto o
Dos incluso después de que el atacante recordó el ataque.

El ataque de inundación SYN es una forma de ataque de denegación de servicio en el que un atacante envía una gran cantidad de solicitudes de SYN a los servicios de un sistema de destino que utilizan el protocolo TCP. Esto consume los recursos del sistema para que el sistema no responde incluso a un tráfico legítimo. Este ataque puede ocurrir en cualquier servicio que use el protocolo TCP, pero principalmente en el servicio web. En este tutorial, pasaremos por lo básico de los ataques de inundación SYN y los pasos de mitigación en detalle.

El ataque de inundación SYN explota una característica de implementación del protocolo de control de transmisión (TCP), que se denomina apretón de manos de 3 vías. Los siguientes son los pasos que ocurren en un apretón de manos normal de 3 vías:

1. El cliente solicita una conexión enviando un mensaje SYN (sincronización) al servidor.
2. El servidor reconoce esta solicitud enviando SYN-ACK de nuevo al cliente.
3. El cliente responde con un ACK, y la conexión es fácil.

Un ataque de inundación SYN funciona al no responder al servidor con el código ACK esperado. Por estas conexiones medias abiertas, las máquinas de destino TCP Backlog se llevarán a cabo y, por lo tanto, todas las conexiones nuevas pueden ser ignoradas. Esto hará que los usuarios legítimos también se ignoren.

Este ataque puede tener lugar de dos maneras:

1. ataque directo

En este tipo de ataque, los atacantes envían rápidamente segmentos SYNS con OFF SPOOFING su dirección de origen IP. Cuando se detecta, este tipo de ataque es muy fácil de defender, ya que podemos agregar una simple regla de firewall para bloquear paquetes con la dirección IP de la fuente del atacante que será el ataque.

2. Uso de la propia dirección IP Spoofing

Esta es una forma más compleja de ataque el ataque directo. En este método, la máquina maliciosa enviará las inundaciones de Syn Solicitud a la máquina de destino desde las direcciones IP falsificadas, lo que hace que el servidor envíe el SYN-ACK a una dirección IP falsificada, que no enviará un ACK porque "sabe" que nunca Enviado un syn.

Detección de ataque de inundación SYN

El síntoma genérico del ataque de inundación SYN a un visitante del sitio web es que un sitio tarda mucho tiempo en cargarse, o cargar algunos elementos de una página, pero no otros. Si sospechas un ataque de inundación de SYN en un servidor web, Puede utilizar para verificar las solicitudes de conexión del servidor web que están en estado "Syn_Received".

netstat -tuna | Grep: 80 | grep syn_recv

Si muestra numerosas conexiones con este estado, el servidor podría estar bajo un ataque de inundación SYN. Si el ataque es directo con un gran número de paquetes SYN_RECV desde una sola dirección IP, puede detener este ataque agregando esa dirección IP en el firewall. Si tiene instalado APF o Firewall en su servidor, puede lograr esto ejecutando el siguiente comando:

aPF -D iPAddress
CSF -D iPAddress

Defendiendo el ataque de inundación syn

Usando cookies syn

Este es el método más efectivo de defensa del ataque de inundación SYN. El uso de las cookies SYN permite que un servidor evite cayendo conexiones cuando se llena la cola SYN. En su lugar, el servidor se comporta como si la cola SYN se ha ampliado. El servidor envía la respuesta APROPITE SYN + ACK al cliente, pero descarta la entrada de la cola SYN. Si el servidor recibe una respuesta de ACK posterior del cliente, ABYND reconstruye la entrada de la cola SYN usando codificada en el número de secuencia TCP.

Las cookies SYN se pueden habilitar agregando la siguiente a /etc/sysctl.conf

net.ipv4.tcp_syncookies \u003d 1.

Después de modificar el archivo de configuración de SYSCTL, debe ejecutar el siguiente comando para cargar la configuración de Systl desde el archivo /etc/sysctl.conf

Aumentar la cola de retroceso SYN

Una técnica defensora opcional es aumentar el tamaño de la cola de acumulación de SYS. El tamaño predeterminado es 1024. Esto se puede hacer agregando lo siguiente a /etc/sysctl.conf

net.ipv4.tcp_max_syn_backlog \u003d 2048.

Reducción de reintentos de syn_ack.

Tweaking El parámetro del kernel TCP_SYNACK_RETETE hace que el kernel cierre las conexiones del estado SYN_RECV anteriormente. El valor predeterminado es 5.

net.ipv4.tcp_synack_retries \u003d 3.

Configuración de tiempo de espera SYN_RECV.

Bajar el valor de tiempo de espera para Syn_Recv ayudará a reducir el ataque de inundación SYN. El valor predeterminado es 60 y podemos reducirlo a 40 o 45. Esto se puede hacer agregando la siguiente línea a SYSCTL.CONF.

net.ipv4.netfilter.ip_conntrack_tcp_timeut_syn_recv \u003d 45.

Prevención de la falsificación de IP.

El siguiente parámetro Systl ayudará a proteger contra la falsificación de IP que emite ataques de inundación SYN.

net.ipv4.conf.all.rp_filter \u003d 1.

Muchas compañías de alojamiento brindan protección contra el ataque de syn mediante la implementación de firewalls que emplean la defensa de inundaciones de SYN, como Netscreen o AppSafe.



¿Te gustó el artículo? Compártelo
Artículos recomendados sobre el tema.
Causas de por qué Flash Player no funciona, y la solución de problemasCausas de por qué Flash Player no funciona, y la solución de problemas
La computadora portátil se apaga, ¿qué hacer?La computadora portátil se apaga, ¿qué hacer?
HP Pavilion DV6: Características y comentariosHP Pavilion DV6: Características y comentarios
Los visitantes ahora están discutiendo
Formato de representación de un número de punto flotante. Cómo se almacenan los números negativos en la memoria de la computadoraFormato de representación de un número de punto flotante. Cómo se almacenan los números negativos en la memoria de la computadora Asus
Computer papas fritas y no enciende qué hacer?Computer papas fritas y no enciende qué hacer? Enlace D
¿Por qué no funciona el ratón en una computadora portátil o ratón?¿Por qué no funciona el ratón en una computadora portátil o ratón? Androide
¿Cómo aumentar o disminuir la escala de la página (Fuente) en los compañeros de clase?¿Cómo aumentar o disminuir la escala de la página (Fuente) en los compañeros de clase? Problemas