Syn inonda des attaques. Protection Linux Server à partir de Syn Flood: Principes de base et méthodes. Si rien n'aide

Synchroofed Syn est une attaque à laquelle les en-têtes de paquets sont forgés de manière à ce que le lieu de l'expéditeur réel prend une adresse IP arbitraire ou inexistante.

Depuis essentiellement Syn, un outil fréquent " lutte compétitive intensive"Et dans le même temps, la plupart des solutions d'atténuation du DDO montrent une efficacité impressionnante sous cette forme d'attaques, nous commencerons ensuite par Syn-Flood, compte tenu du type d'attaque spoofed comme le plus redoutable d'entre eux.

Dénigrement

Disclaimer Numéro 1.

Tous décrits dans ce domaine et des sujets suivants - en fait, ce n'est pas un savoir-faire. Toutes les techniques sont ouvertes et de toute façon (certaines - à partir de 2003) ont été publiées dans des sources ouvertes. J'ai pris le travail seulement pour les réduire en un et décrire " stratégie globale»Protection axée sur la protection administrateurs systèmeServir de petits projets situés sur des serveurs en surbrillance (la stratégie décrite peut être appliquée dans des projets partagés, mais la mise en œuvre sera tellement Échappement terrible qu'il n'y a pas de désir d'écrire à ce sujet)

Disclaimer Numéro 2.

Dans le sujet pas considéré Solutions de défense matérielles - Tout d'abord, elles sont parfaitement considérées dans de nombreux articles de fabricants de ces solutions très solutions, deuxièmement, des projets qui ont un serveur ne peuvent souvent pas leur permettre (à peine parlant, le prix des solutions de travail commence de 20 000 euros), troisièmement - la L'auteur n'a pas de données et d'expériences suffisantes pour travailler avec un tel fer spécialisé, afin de tirer des conclusions mondiales sur les méthodes et l'efficacité de cette protection - il n'est guère intéressant pour une personne un aperçu des décisions de deux vendeurs d'une douzaine, non soutenu par le travail sérieux. statistiques de leur utilisation. Mais il convient de noter que les deux solutions matérielles que j'ai dû utiliser sont généralement très efficaces sur des attaques syntonisées. lors de l'exécution d'un certain nombre de conditions.

Disclaimer Numéro 3.

Dans le sujet pas considéré Protecteurs de protection contre les attaques DDO - Les ingénieurs de services de ces organisations seront en mesure de mieux décrire leurs méthodes de travail et plus encore. Il serait probablement utile de passer un examen des fournisseurs eux-mêmes en tant que tels - du point de vue du client (à des moments différents, des projets dans lesquels j'ai participé étaient des clients de Dragonara, Blacklotus, Gigenet, Vistnet (actuellement), Prolexic (actuellement). et un certain nombre de vendeurs des services des entreprises ci-dessus), mais ils sont assommés dans le cadre du thème, essayons d'en parler plus tard. Encore une fois, il convient de noter que tous les fournisseurs de la protection que les projets de l'auteur fonctionnent ou travaillaient devraient faire face au problème des attaques syntonisées, montrant une bonne efficacité.

Quelques mécaniciens et wikipedia

Je ne voudrais pas transformer le sujet dans l'apparence et la citation de la RFC, ainsi que toutes les vérités bien connues, nous nous limiterons donc au fait que le TCP est intéressant du point de vue de l'attaque SYN et de la course dans le Haut.

Premièrement, TCP est l'un des protocoles de transport les plus utilisés, au-delà de quels protocoles appliqués sont situés. Deuxièmement, il possède un certain nombre de fonctionnalités spéciales (démarrage et achèvement et achèvement clairement confirmé de la connexion, du contrôle de flux, etc.) - ce qui en fait une intensité de ressources relativement complexe et de ressources.

Dans le contexte de l'article, il est intéressant de considérer le mécanisme de connexion TCP - une poignée de main tripartite. Dans la première approximation du niveau "client-serveur", il ressemble à ceci: le client envoie le serveur Syn-Pack sur lequel Syn + ACK. Clyient envoie un ACK en réponse à un serveur SYN et la connexion entre dans l'état de l'installé.

SYN Attack - Envoi à un port ouvert de la masse de paquets SYN, qui ne conduira pas à l'installation d'une connexion réelle pour une ou une autre raison, ce qui entraîne la création de "connexions à moitié ouvertes" qui déborde la file d'attente de connexion, forçant le serveur à refuser de maintenir des clients réguliers. De plus, TCP RFC oblige le serveur à répondre à chaque syn de synchronisation entrante, ce qui bat en outre à la fois via les ressources du serveur et via le canal de données. En d'autres termes, si vous avez déjà rencontré - en substance - par tout Attaques DDO - décrit ci-dessus, vous savez sans moi. Aller à des recommandations spécifiques.

Un sur le terrain

Utilisez ce qui est à portée de main et ne cherchez pas une autre chose - que peut-on faire, être seul avec une attaque? Honnêtement, pas beaucoup, mais il arrive qu'il y a assez de choses. Cela décrit quoi faire avec FreeBSD, comme dans nos projets dans 90% des cas, ce système est utilisé. Cependant, la différence sera petite du système d'exploitation au système d'exploitation - les principes sont les mêmes.

D'abord - Il est nécessaire d'accéder au serveur (oui, cela peut également être difficile, surtout si l'attaque est à grande échelle et / ou longue - le serveur a simplement choisi tous les tampons ou a une charge 100% de la CPU). Habituellement, il suffit de fermer le service attaqué du pare-feu ou simplement - le service est de payer (cependant, lorsqu'une attaque est détectée, elle doit être faite de toute façon, au moins pour pouvoir faire autre chose sur le serveur).

Deuxième - Obtenez les premières informations sur l'attaque. Si vous avez déjà été fait pour surveiller le trafic entrant - excellent, sinon, ouvrez le pare-feu / élever le service et utilisez l'ancien TCPDump et NetStat, pour découvrir ce qui a attaqué et quelle est la taille de l'attaque des paquets par seconde. En chemin, vous pouvez rapidement afficher les réseaux à partir desquels les demandes de masse vont - si elles sont dans un public typique de votre service. Tout cela est utile à l'avenir.

La troisième - sur l'interface où l'adresse IP attaquée est située, une seule personne devrait rester. Chaque alias réduira les performances du système. Il est exprimé en différents nombres pour différents systèmesMais ces chiffres sont graves, chaque alias peut coûter 2 à 3 000 paquets par seconde.

Quatrième - Si vous utilisez un pare-feu pour le trafic entrant sur une adresse attaquée - toutes les règles, à l'exception du blocage doivent être désactivées - par exemple, avec Syn-Attack SPOOFED, la probabilité que syn-proxy de PF aide à zéro et à la CPU qu'elle prendra très sérieusement.

Cinquième - Configurez le système. Les miracles ici ne seront pas, car vous avez besoin d'un piano dans les buissons sous forme de pilotes préparés et spécialement acheté cartes réseauet les deux seules recommandations générales qui se reflètent sérieusement dans la possibilité de recevoir des attaques SYN ont longtemps été connues de tous:
- Madify le traitement des interruptions sur les processeurs de serveur;
- Activer Syn-Cookies et désactiver Syn-cache.

Le reste du système de réglage contribuera à transmettre 5-10 000 paquets supplémentaires, ce qui, dans les conditions de l'attaque, il est peu probable de déterminer. Si s'il est utile à quelqu'un - il s'agit de la configuration commune maximale (sans inclusion d'options nécessitant un noyau de rebelle ou des pilotes spécialisés):

Net.isr.direct \u003d 1 kern.ipc.nmbclusters \u003d 400000 net.inet.tcp.nolocaltimewait \u003d 1 net.inet.tcp.recvace \u003d 16384 net.inet.tcp.sendspace \u003d 32768 net.inet.tcp.msl \u003d 5000 net.inet.tcp.blackhole \u003d 1 net.inet.ip.intr_queueue_maxlen \u003d 3000 net.inet.tcp.blackhole \u003d 2 net.inet.udp.blackhole \u003d 1 net.inet.icmp.log_redirect \u003d 1 net.inet.ip.ip .redirect \u003d 0 net.inet.icmp.maskrepl \u003d 1 net.inet.tcp.syncookies_only \u003d 1 net.route.netisr_maxqlen \u003d 4096 kern.ipc.maxsockbuf \u003d 83886080 net.inet.ip.intr_queue_maxlen \u003d 10240
Le système de l'ordinateur de bureau configuré conformément à ces recommandations:

Premier # Entrée NetStat -W1 -H -D Entrée (Total) Paquets de sortie ERRS IDROPS Bytes Bytes Paquets Erra d'octets Colls gouttes 260K 0 0 15m 230k 0 13m 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
Le système de niveau IBM System X3630 M3 configuré conformément à ces recommandations:

Deuxième # NetStat -W1 -H -D Entrée de sortie (Total) Paquets de sortie ERRS IDROPS Bytes Bytes Paquets Erra d'octets Colls gouttes 477K 0 0 0 36M 457K 0 25m 0 0 0 0
Des configurations détaillées du système d'exploitation et de machines, et, en fait, comme nous leur sommes venus exactement - je vais essayer de dire au sujet suivant.

Une chose est faite

Que faire en plus de régler le système en principe, il y a quelque chose à faire.

Il convient de faire une petite digression - la plupart des entreprises hébergées aideront à la lutte contre l'attaque extrêmement réticente, s'ils sont utiles, et il est difficile de les blâmer. Mais au moins, ils fourniront des données sur l'attaque - si vous devez travailler avec des fournisseurs de protection, cela, couplé avec les informations collectées par vous pendant l'attaque, facilitera grandement la vie.

Si le hébergement a pris la compréhension (ce qui est vraiment la fréquence) - nous travaillons selon l'algorithme suivant - Parallèle et bloqué, bloc et parallèle:
Si nous avons plusieurs cartes réseau (sinon, nous demandons de mettre) - transformez-les en mode lacpopique (pour cela, vous devez inclure des options similaires sur le commutateur de hébergement) - cela examinera en réalité l'augmentation des performances (subtilités séparées du processus. Nous allons regarder plus tard - discuter de l'immense dans le sujet ne fonctionne de quelque manière que ce soit) nous sortons de cette productivité:

Deuxièmement # NetStat -W1 -H -D entrée de sortie (Total) Paquets de sortie ERRS IDROPS Bytes Bytes Bytes Bytes Colls gouttes 1.2m 16k 0 65m 1.1m 0 59m 0 0 0 0 0 0 0 0 0 0 0
Veuillez bloquer tous les ports et protocoles non utilisés - l'attaque SYN peut facilement changer l'attaque UDP.
En fait, toute entreprise de hostinith est capable de ces actions. Mais si vous avez eu la chance de travailler avec une entreprise sérieuse - vous demander de bloquer le trafic de la région, où la majeure partie de votre projet (par exemple, la Chine) ne vit pas - généralement cela signifie que l'annonce de BXOLON pour votre réseau pour votre réseau les principaux fournisseurs d'une certaine région. En règle générale, Syn Attack est fabriqué à partir d'Asie, en raison du prix et de la masse, et une telle annonce peut donc aider sérieusement à la lutte contre l'attaque ou même exclure sa possibilité.

Outre les mesures décrites ci-dessus, vous pouvez vous conseiller d'utiliser le service de type Geodns - dans certaines conditions (l'attaque est effectuée sur un domaine, par exemple), elle fonctionnera de la même manière que l'annonce de BLLEXOL pour certains réseaux.

Pour terminer

J'espère que l'article vous aidera à faire face au problème de Syn-Flud, ne dépassant pas le budget annuel d'aucun pays africain. Bien entendu, seules les recommandations les plus générales sont données ici, mais croire moi - dans 90% des cas, ils sont assez assez. Et surtout - Don "T panique!

UPD. La continuation est sous les étapes de l'écriture et sera bientôt aménagée ici. Rester avec nous!

11.11.2012

Près du fleur.il est entendu par un énorme flux de données sous forme de messages, qui est envoyé pour accueillir toutes sortes de forums et de discussions. Si vous regardez le point de vue technique, inonder. - C'est l'un des plus courants. espèce d'attaque informatiqueet son objectif est d'envoyer un tel nombre de demandes que l'équipement de serveur sera obligé d'effectuer défaut de service Services utilisateur. Si un attaque d'équipement informatique Il est effectué avec un grand nombre d'ordinateurs, alors vous avez affaire.

Il existe plusieurs types d'attaques DDO avec des inondations, les principales sont énumérées ci-dessous:

• Syn-ack-flud
• Http-inondit
• ICMP-inondation
• Udp-inondation

Syn-ack-flud

Syn-ack-flud - l'un des types attaques de réseauqui est basé sur l'envoi d'un grand nombre de requêtes SYN par unité de temps. Le résultat sera l'échec du service dont le travail était basé sur le protocole TCP. Au début, le client échangera un package contenant le drapeau SYN, dont la présence indique le désir d'établir une connexion. Le serveur, à son tour, envoie un package. De plus, à l'exception du drapeau SYN, il existe un drapeau ACK qui porte l'attention du client sur le fait que la demande est acceptée et confirmée la confirmation de la création d'une connexion d'un client. Il répond avec un colis avec Drapeau ACK sur une connexion réussie. Toutes les demandes de "Connect" des magasins de clients clients en ligne d'une certaine taille. Les demandes sont stockées dans la file d'attente avant de revenir du client ACK Flag. L'attaque SYN est basée sur l'envoi d'un serveur de paquets à partir d'une source inexistante, le montant dépasse la taille de la file d'attente. Le serveur ne sera tout simplement pas en mesure de répondre à l'emballage de l'adresse de fiction. La file d'attente ne diminuera pas et le service cessera de fonctionner.

Http-inondit.

Http-inondit. - s'applique en cas de service avec base de données. Attaque vise soit sur serveur Web.Ou sur le script travaillant avec la base. Éteindre grande quantité Obtenez des demandes à 80 ports, de sorte que le serveur Web était incapable de payer une attention particulière aux demandes d'un autre type. Les fichiers journaux augmentent et fonctionnent avec la base de données deviennent impossibles.

ICMP-inondation

ICMP-inondation - Simple façon réduire le débit et charges accrues Sur la pile au moyen d'envoyer le même type de demandes de ping ICMP. Dangereux en cas de petite attention particulière Écrans de réseauÉtant donné que le serveur répondant aux demandes infinies d'écho est condamné. Donc, dans le cas du même nombre de trafic entrants et sortants, enregistrez simplement les règles dans iptables..

Udp-inondation

Udp-inondation - Autrement demander la bande passanteBasé sur le travail avec un protocole qui ne nécessite pas de synchronisation avant d'envoyer des données. L'attaque revient au package local habituel sur le port de serveur UDP. Après avoir reçu le colis, le serveur commence à le traiter fort. Le client envoie les paquets UDP de contenu incorrect un par un. En conséquence, les ports ne fonctionneront plus et le système échouera.

En principe, pour déterminer tapez l'attaque DDO Souvent, il n'est pas nécessaire de passer beaucoup de temps. Il suffit de connaître plusieurs signes. Si significatif la taille du fichier journal a augmenté - Vous traitez avec Http-inondit. Si un accès limité au service À la suite de dépasser le nombre de connexions autorisées - ceci Syn-ack-flud. Si le trafic sortant et entrant est approximativement égal - Vous traitez avec ICMP-FLUD.. La principale chose est de ne pas oublier de maintenir sécurité de son serveur De DDO et lui accorder l'attention. Le meilleur est de prendre soin de

Une inondation synchronisée est une forme d'attaque de déni de service dans laquelle un attaquant envoie une progression des demandes SYN à un objectif d'un objectif en essayant de consommer suffisamment d'actifs de serveur pour rendre l'activité intimité du cadre.

Poignée de main TCP à trois voies

En règle générale, lorsqu'un client commence une connexion TCP avec un serveur, le client et le serveur échangent une progression de Messaz qui exécute régulièrement de cette façon:

1) Le client demande une connexion en envoyant un message SYN (synchroniser) sur le serveur.

2) Le serveur reconnaît cette demande en envoyant Syn-ACK au client.

3) Le client réagit avec un ACK et la connexion est construite.

Ceci est connu sous le nom de la poignée de main TCP à trois voies et est l'établissement pour chaque connexion configurée en utilisant le protocole TCP.

Travailler de l'attaque de synthèse synchronisée

Une attaque de synthèse synchronisée ne fonctionne pas en ne faisant pas réagir au serveur avec le code ACK normal. Le client pernicieux peut soit essentiellement ne pas envoyer l'ACK normal, soit en satirisant l'adresse IP source de la Synic, apportant Abyde le serveur pour envoyer le syn-ack à une adresse IP déformée - qui n'enverra pas un ack sur les motifs que Il "sait" que cela n'a jamais envoyé de syn.

L'utilisateur restera serré pour l'afmiration pendant un certain temps, car le schéma système simple pouvait également être la raison de l'ack manquant. En tout état de cause, dans une attaque, les connexions semi-ouvertes fabriquées par le client pernicieux Ressources sur le serveur et peuvent à long terme surpasser les ressources accessibles sur le serveur. À ce moment-là, le serveur ne peut être accessible par aucun client.

Sécurité contre les attaques synthétiques Syn

Il existe diverses contre-mesures sûrement comprises, notamment:

1) Filtration

2) Augmenter l'arriéré.

3) TCP demi-ouvert:Les alluches à moitié ouvertes aux associations de TCP dont l'état est hors de synchronisation entre les deux potentiellement à cause d'un accident d'un côté. Une connexion qui est en cours d'installation est appelée une connexion embryonnaire. L'absence de synchronisation pourrait être à cause d'un but malin. Une connexion TCP est allongée à moitié ouverte lorsque l'hôte vers un côté de cette association TCP a claqué ou a généralement évacué la pièce jointe sans informer le côté bascule. Dans le cas où l'association peut rester dans l'état demi-ouvert pour des cadres de temps sans bordure. Ces jours-ci, le terme association semi-ouverte est régulièrement utilisé pour décrire une connexion embryonnaire, c'est-à-dire. Une connexion TCP qui est en cours d'installation.

La Convention TCP dispose d'un cadre de trois états pour ouvrir une connexion. Pour commencer, le point d'extrémité de départ (A) envoie un ensemble de syndrome SYN à la destination (B). A est actuellement dans un état embryonnaire (en particulier, syn_sent) et anticipant une réaction. B redessine ses données de portion pour démontrer la connexion approche de A, et transmet une demande d'ouverture d'un retour de canal (le paquet SYN / ACK). Maintenant, B est en outre dans un état embryonnaire (en particulier, Syn_RCVD). Notez que B a été mis dans cet état par une autre machine, en dehors du contrôle de B.

Dans des conditions typiques (voir Forewearing of-Administration Attaque pour des cas de décevoir conscients), une volonté obtient le syn / ack de B, révision de ses tables (qui disposent désormais de suffisamment de données pour A pour envoyer et obtenir) et renvoyer un dernier ACK à B. Quand B obtient ce dernier ACK, il dispose également de données adéquates pour une correspondance bidirectionnelle et la connexion est complètement ouverte. Les deux points finaux sont actuellement dans un état établi.

4) pare-feu et proxies

5) Réduire la minuterie Syn-reçue

6) Syn cache

7) Recycler le plus ancien TCP demi-ouvert

8) approches hybrides

9) Syn Bookies:Syn Cookie est une stratégie utilisée pour s'opposer aux agressions Syn Surge. Daniel J. Bernstein, le créateur essentiel de la procédure, caractérise la syndicalisation SYN TRAITES comme "Décisions spécifiques des numéros d'arrangement TCP débutant par les serveurs TCP". L'utilisation des friandises synchronisées permet à un serveur de s'abstenir de supprimer des associations lorsque la ligne SYN est terminée. Le serveur comporte plutôt comme si la chaîne SYN avait été amplifiée. Le serveur renvoie la réaction SYN + ACK appropriée au client, mais dispose à nouveau de la section de la ligne SYN. Dans le cas où le serveur reçoit alors une réaction ACK résultante du client, le serveur peut reproduire la section SYN LINE utilisant des données codées comme une partie du numéro de succession TCP.

Si vous avez besoin d'une aide supplémentaire, veuillez contacter notre service d'assistance.

Pensez-vous vraiment que vous savez tout sur DOS? Puis lire!

Le déni de service (DOS), les attaques de refus, sont devenues plus dangereuses et plus faciles. Dos est une variété
Attaques de réseau (de Worms à Syn inondation), le but de rendre le serveur n'est pas disponible pour les utilisateurs. "Réflexion distribuée" Il s'agit d'une nouvelle sorte d'attaques de DOS utilisant Syn Flood "a. Son fonctionnalité est que des millions de paquets SYN ne sont pas envoyés au serveur attaqué, ils sont envoyés au routeur ou au serveur et la réponse vient à la serveur cible. MAIS
Routeurs il y a des millions!

Comprendre comment tout fonctionne et pourquoi il est si important
Rappelons-nous quelque chose ... Confirmation Les connexions TCP se produisent en partageant trois packages entre deux
Ordinateurs, soi-disant poignée de main. Voici un schéma approximatif:

• Syn Client (navigateur Web, client FTP, etc.) Entraîne la communication avec le serveur, envoyant lui un package syn.
• SYN / ACK: Lorsqu'une demande de connexion (package SYN) est obtenue sur open Porta Serveurs, il confirme la connexion en envoyant le client SYN / ACK au package.
• ACK: Lorsque le client reçoit une confirmation du package SYN / ACK Server pour la communication attendue, puis répond par le paquet ACK.

Que ce passe-t-il?

Les attaques traditionnelles «Syn inondant DOS» travaillent sur deux principes:

• La machine "un-sur-un" une machine est suffisante de Syn Forfaits pour bloquer l'accès au serveur.
• "Plusieurs" de nombreux programmes zombies,
  Installé sur différents serveurs, attaquez les paquets Syn de la machine cible.

Utiliser des packages "réflexions synolarches" sont envoyés,
Mais avec l'adresse IP source indiquant la machine cible. Connexion TCP à l'aide de ces trois packages nécessite un service TCP qui reçoit un package syn / syn / ACK. Serveur ou routeur qui obtient ces fausses packages Syn Envoyer des réponses SYN / ACK à la machine spécifiée par Syn Packages avec l'adresse source
IP. Protocole Primary Internet et Infrastructure
Les réseaux sont utilisés contre eux-mêmes!

En détails

Toute communication TCP avec un serveur général peut être utilisée pour "refléter" les paquets SYN. Ici
Liste courte des ports TCP les plus populaires:
22 (Shell sécurisé), 23 (Telnet), 53 (DNS) et 80 (http / web). Et réellement routeur "sur l'ensemble de l'Internet sera confirmé par la communication TCP sur
179 Port. Estimons le potentiel de cette attaque:

• Il utilise le protocole de communication Internet fondamental;
• Machines qui utilisent ce protocole, il y a des millions;
• extrêmement facile d'organiser une attaque 'Syn Packet
  Réflecteurs '.

Il peut être assez facile de construire une liste,
dans lequel les rauteurs seront énumérés et
Serveurs qui répondent aux packages Syn. Ayant
Grande liste de "réflecteurs" SYN, chacun
Hacker peut distribuer fausse syn
Emballages uniformément à travers tout le jeu
routeurs / serveurs dans la liste. Aucun des "réflecteurs" innocents ne sera pas expérimenté
charge de réseau substantielle. Les routeurs ne permettent pas de sauvegarder des rapports sur des packages avec des demandes de
pré-connexion, il fait
Le suivi de l'attaque est extrêmement difficile.

"Réflecteurs" (routeurs et serveurs) seront envoyés à trois ou quatre fois grande quantité Paquets SYN / ACK que le nombre de paquets SYN qu'ils
obtenir. Connexion TCP qui reçoit la commande
Syn, attend la réponse ACK de la voiture à laquelle il a envoyé
Paquet SYN / ACK, l'ordinateur est donc envoyé à une autre réponse SYN / ACK en quelques minutes. Cette caractéristique du protocole TCP est essentiellement multipliée par le nombre de paquets SYN / ACK malveillants envoyés à la machine cible à trois ou quatre. Cela signifie aussi que syn / ack
Les packages continueront à attaquer le serveur cible pendant une minute ou
Deux même après que l'attaquant a rappelé l'attaque.

Syn Flood Attack est une forme d'attaque de déni de service dans laquelle un attaquant envoie un grand nombre de demandes SYM sur les services d'un système cible utilisant le protocole TCP. Cela consomme les ressources système à rendre le système insensible au trafic même légitime. Cette attaque peut survenir sur tout service utilisant le protocole TCP, mais principalement sur le service Web. Dans ce didacticiel, nous passerons à travers les bases des attaques de synthèse synonymes et des étapes d'atténuation en détail.

L'attaque synthétique SYNO exploite une caractéristique de mise en œuvre du protocole de contrôle de la transmission (TCP), qui est appelée poignée de main à 3 voies. Voici les étapes qui se produisent dans une poignée de main à 3 voies normale:

1. Le client demande une connexion en envoyant un message SYN (synchroniser) sur le serveur.
2. Le serveur reconnaît cette demande en envoyant Syn-ACK au client.
3. Le client répond avec un ACK et la connexion est facile.

Une attaque de synthèse synchronisée fonctionne en ne répondant pas au serveur avec le code ACK attendu. Par ces connexions semi-ouvertes, les machines cible TCP Backlog seront remplies et toutes les nouvelles connexions peuvent être ignorées. Cela fera que les utilisateurs légitimes soient également ignorés.

Cette attaque peut avoir lieu de deux manières:

1. Attaque directe

Dans ce type d'attaque, les attaquants envoient rapidement Syn segments avec une interruption de protection de leur adresse IP. Lorsqu'il est détecté, ce type d'attaque est très facile à défendre, car nous pouvons ajouter une règle de pare-feu simple pour bloquer les paquets avec l'adresse IP source de l'attaquant qui sera l'attaque.

2. Utiliser l'entrepoiffage d'adresse IP

C'est une forme d'attaque plus complexe l'attaque directe. Dans cette méthode, la machine malveillante enverra Syn Demandera des inondations de la machine cible à partir d'adresses IP usurpées, ce qui entraîne l'envoi du Syn-ACK à une adresse IP falsifiée - qui n'enverra pas de ACK car il "sait" que ce n'est jamais Envoyé une syn.

Détecter la synthèse de synthèse synthétique

Le symptôme générique de Syn inondit Attack to Un site Web Visitor est qu'un site prend beaucoup de temps à charger ou chargez des éléments d'une page mais pas d'autres. Si vous soupçonnez une attaque de synthèse synchronisée sur un serveur WebVous pouvez utiliser pour vérifier les demandes de connexion de serveur Web dans l'état "Syn_Received".

netstat -tuna | Grep: 80 | Grep Syn_Recv

Si cela affiche de nombreuses connexions avec cet état, le serveur pourrait être sous l'attaque de synthèse Syn. Si l'attaque est directe avec un grand nombre de paquets Syn_Recv à partir d'une seule adresse IP, vous pouvez arrêter cette attaque en ajoutant cette adresse IP dans le pare-feu. Si APF ou pare-feu installé sur votre serveur, vous pouvez y accomplir en exécutant la commande suivante:

aPF -D iPaddress
CSF -D iPaddress

En défendre l'attaque de l'inondation SYN

Utiliser Syn Bookies

C'est la méthode la plus efficace de défense des attaques de synthèse syntonisées. L'utilisation des cookies SYN permet à un serveur d'éviter de supprimer les connexions lorsque la file d'attente SYN se remplit. Au lieu de cela, le serveur se comporte comme si la file d'attente SYN a été agrandie. Le serveur renvoie la réponse appropriée Syn + ACK au client, mais rejette l'entrée de la file d'attente SYN. Si le serveur reçoit ensuite une réponse ACK ultérieure du client, il est abynd de reconstruire l'entrée de la file d'attente SYN à l'aide du code de séquence TCP.

Syn Cookies peut être activé en ajoutant le suivi à /etc/sysctl.conf

net.ipv4.tcp_syncookies \u003d 1.

Après avoir modifié le fichier de configuration SYSCTL, vous devez exécuter la commande suivante pour charger les paramètres SYSTL dans le fichier /etc/sysctl.conf.

Augmenter la file d'attente de synchronisation SYN

Une technique en défense optionnelle consiste à augmenter la taille de la file d'attente SYS Backlog. La taille par défaut est 1024. Ceci peut être fait en ajoutant ce qui suit à /etc/sysctl.conf

net.ipv4.tcp_max_syn_backlog \u003d 2048.

Réduire les tentatives Syn_ack.

Modification du paramètre du noyau TCP_Synack_ReRries provoque le noyau de fermer les connexions Syn_Recv State plus tôt. La valeur par défaut est 5.

net.ipv4.tcp_synack_retries \u003d 3.

Définition du délai d'expiration syn_recv.

L'abaissement de la valeur du délai d'attente pour Syn_Recv vous aidera à réduire l'attaque syn-inondée. La valeur par défaut est de 60 et nous pouvons le réduire à 40 ou 45. Cela peut être fait en ajoutant la ligne suivante à SYSCTL.CONF.

net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_recv \u003d 45.

Prévenir l'éclabonnement IP

Le paramètre SYSTL suivant contribuera à protéger contre l'entrepoiffage IP qui a désigné des attaques synthétiques syntonisées.

net.ipv4.conf.all.rp_filter \u003d 1.

De nombreuses sociétés d'hébergement offrent une protection contre Syn Attack en déployant des pare-feu qui utilisent la défense synonymes de synonymes de syndicalisation SYN telles que Netscreen ou AppSafe.