Syn árvíz támadások. Védelmi Linux szerver a Syn árvízből: alapok és módszerek. Ha semmi sem segít

Az Spooofed Syn olyan támadás, amelyen a csomag fejlécek oly módon kovácsolódnak, hogy a valós feladó helye önkényes vagy nem létező IP-címet vesz igénybe.

Mivel lényegében Syn egy gyakori eszköz " intenzív versenykultúra"És ugyanakkor a DDOS mérséklési megoldások többsége lenyűgöző hatékonyságot mutat ebben a támadások ebben a formájában, akkor megkezdjük a syn-árvízzel, figyelembe véve a legerősebb támadást.

Jogi nyilatkozatok

Jogi nyilatkozat száma 1.

Mindezek által leírt és a későbbi témák - valójában nem know-how. Minden technika nyitva áll, és egyébként (néhány - 2003-tól) nyílt forrásokban jelent meg. Csak a munkát vettem, hogy csökkentse őket egy és leírni " globális stratégia»Védelmi orientált védelem rendszergazdákA kiemelt szervereken található kis projektek kiszolgálása (a leírt stratégia megosztott projektekben alkalmazható, de a végrehajtás így lesz kipufogó szörnyű, hogy nincs vágy, hogy írjon róla)

Jogi nyilatkozat 2. szám.

A témában nem veszi figyelembe Hardver védelmi megoldások - Először is tökéletesen figyelembe veszik ezeket a nagyon megoldások gyártói cikkében, másrészt olyan projektek, amelyek egy kiszolgálóval rendelkeznek gyakran gyakran engedhetik magukat (nagyjából beszélnek, a munkadarabok ára 20.000 euróra kezdődik), harmadik - a A szerzőnek nincs elegendő adata és tapasztalata az ilyen speciális vasokkal való együttműködésben, hogy globális következtetéseket tegye az ilyen védelem módszereiről és hatékonyságáról - alig érdekes, hogy valaki áttekintse a tucat két gyártójának döntéseit, amelyek nem támogatják a súlyos munkát a használatuk statisztikái. De érdemes megjegyezni, hogy mindkét hardver megoldás, amit kellett használnom, általában nagyon hatékonyak a syn rohamokon. számos feltétel végrehajtásakor.

A 3. számú nyilatkozat.

A témában nem veszi figyelembe A DDOS támadások elleni védelme - ezeknek a szervezeteknek a szolgáltatási mérnökei jobban és jobban leírhatják munkamódszereiket. Valószínűleg érdemes lenne a szolgáltatók felülvizsgálatát maguknak - az ügyfél szemszögéből (különböző időpontokban, olyan projektek, amelyekben részt vettem a Dragonara, Blacklotus, Gigenet, Vistnet (jelenleg), prolexikus (jelenleg) és számos eladót a fenti vállalatok szolgáltatásai), de kiütötte a téma keretét, próbáljunk később beszélni róla. Ismét érdemes megjegyezni, hogy minden védelem szolgáltatója, hogy a szerző projektjei, vagy dolgozott, megbirkózik a szin-támadások problémájával, jó hatékonyságot mutatva.

Néhány mechanika és Wikipedia

Nem szeretném fordítani a témát az RFC-sorozatokba, és idézném, és így minden jól ismert igazság, ezért magukra korlátozzuk magukat, hogy a TCP érdekes a syn támadás szempontjából, és a Top.

Először is, a TCP az egyik leggyakrabban használt szállítási protokoll, amelyen a legtöbb alkalmazott protokoll található. Másodszor, számos különlegességgel rendelkezik (egyértelműen megerősítette a kapcsolat, az áramlásvezérlés stb.) -, amelyek viszonylag komplex és erőforrás-intenzív jellegűek.

A cikk összefüggésében érdekes a TCP csatlakozási mechanizmus - egy háromoldalú kézfogás. Az első közelítésben az "ügyfél-kiszolgáló" szinten úgy néz ki, mint ez: az ügyfél elküldi a Syn-Pack kiszolgálót, amelyhez SYN + ACK. A Clyient egy Syn Serverre válaszol, és a kapcsolat az állapotba kerül a telepített.

Syn Attack - A Syn csomagos tömeg nyitott kikötőjének küldése, amely nem vezet valódi kapcsolat telepítéséhez egy vagy más okból, amely magában foglalja a "félig nyitott kapcsolatok" létrehozását, amely túlcsordul a kapcsolódási sor túlcsordulása, a a szerver megtagadja a rendszeres ügyfelek fenntartását. Plusz, a TCP RFC kötelezi a kiszolgáló válaszoljon a bejövő SYN, amely emellett veri mind a szerver erőforrások és a adatcsatornán. Más szóval, ha már találkozott - lényegében - bármely DDOS támadók - fent leírt, hogy tudod nélkülem. Menjen konkrét ajánlásokra.

Az egyik a területen

Használja, hogy mi van a kezében, és ne keressen egy másik dolgot - mit lehet tenni, egyedül lenni egy támadással? Őszintén szólva, nem sok, de ez megtörténik, hogy van elég. Ez leírja, hogy mit kell tennie a FreeBSD-vel, mint a projektjeinkben az esetek 90% -ában ezt a rendszert használják. Azonban a különbség kicsi lesz az operációs rendszerbe az operációs rendszerbe - az elvek azonosak.

Első - A kiszolgálóhoz való hozzáférés szükséges (igen, ez nehéz lehet, különösen akkor, ha a támadás nagyméretű és / vagy hosszú idő - a kiszolgáló egyszerűen minden puffert választott, vagy 100% -os CPU terheléssel rendelkezik). Általában elég ahhoz, hogy bezárja a tűzfal megtámadott szolgáltatását, vagy egyszerűen - a szolgáltatás kifizetése (bár támadás észlelése esetén azonban meg kell tenni, legalábbis annak érdekében, hogy képes legyen valamit tenni a szerver).

Második - Szerezd meg az első információt a támadásról. Ha már megtörtént a figyeli a bejövő forgalmat - kiváló, ha nem, akkor nyissa meg a tűzfal / emelni a szolgáltatás, és használja a régi jó tcpdump és NETSTAT, hogy megtudja, mi támadta, és mi a mérete a támadás csomagok másodpercenként. Az út mentén gyorsan megtekintheti a hálózatokat, ahonnan a tömeges kérések elindulnak - akár tipikus közönségben vannak a szolgáltatáshoz. Mindez a jövőben hasznos.

Harmadik - Az a felületen, ahol a támadott IP-cím csak egyre van elhelyezve. Minden álnév csökkenti a rendszer teljesítményét. Ez különböző számokban fejeződik ki különböző rendszerekDe ezek a számok komolyak, minden álnév további 2-3 ezer csomagot költhet másodpercenként.

Negyedik - Ha a tűzfal a bejövő forgalmat egy támadták címet - az összes szabályt, kivéve blokkoló ki kell kapcsolni - például a Spooofed Syn-támadás a valószínűségét, hogy a SYN-Proxy PF segít nulla, és a CPU lesz szükség nagyon Komolyan.

Ötödik - A rendszer konfigurálása. A csodák itt nem lesznek, mert nekik kell egy zongora a bokrok formájában elkészített illesztőprogramok és speciálisan megvásárolt hálózati kártyák, és az egyetlen két általános ajánlat, amely komolyan tükröződik abban, hogy a syn támadások fogadásának lehetősége már régóta ismert mindenkinek:
- megsérti a megszakítások feldolgozását a kiszolgálói feldolgozókon;
- Engedélyezze a szin-cookie-kat és tiltsa le a Syn-Cache-t.

A tuning rendszer többi része segít a további 5-10 ezer csomagolás megteremtésében, amely a támadás feltételei nem valószínű, hogy meghatározzák. Ha valaki hasznos, akkor ez a maximális közös konfiguráció (anélkül, hogy beilleszkedne az olyan opciókat, amelyek lázadó magot vagy speciális illesztőprogramokat igényelnek):

Net.isr.direct \u003d 1 kern.ipc.nmbclusters \u003d 400000 net.inet.tcp.nolocaltimewait \u003d 1 net.inet.tcp.recvspace \u003d 16384 net.inet.tcp.sendspace \u003d 32768 net.inet.tcp.msl \u003d 5000 net.inet.tcp.blackhole \u003d 1 net.inet.ip.intr_queueue_maxlen \u003d 3000 net.inet.tcp.blackhole \u003d 2 net.inet.oDp.blackhole \u003d 1 net.inet.icmp.log_redirect \u003d 1 net.inet.ip .redirect \u003d 0 net.inet.icmp.maskrepl \u003d 1 net.inet.tcp.syncookies_only \u003d 1 net.route.netisr_maxqlen \u003d 4096 kern.ipc.maxsocksocks \u003d 83886080 net.inet.ip.intr_queue_maxlen \u003d 10240
Az asztali számítógép rendszere az ajánlásokkal összhangban van konfigurálva:

Először # NETSTAT -W1 -H -D bemenet (teljes) kimeneti csomagok ERRS IDROPS BYTES PACKETS ERRS BYTES COLLS DROPS 260K 0 0 15M 230K 0 13M 0 0 0
Az IBM System X3630 M3 szintű rendszere az ajánlásokkal összhangban van konfigurálva:

Második # Netstat -W1 -H -D bemenet (teljes) Kimeneti csomagok ERRS IDROPS BYTES PACKETS ERRS BYTES COLLS DROPS 477K 0 0 36M 457K 0 25m 0 0 0
Az operációs rendszerek és gépek részletes konfigurációi, és valójában, ahogyan pontosan eljöttek nekik - megpróbálok elmondani a következő témában.

Egy dolog történik

Mi a teendő a rendszer elvileg történő hangolásánál, van valami.

Érdemes elkészíteni egy kis digress-t - a legtöbb hosting cég segít a harc ellen a támadás rendkívül vonakodó, ha azok hasznosak, és ebben, hogy nehéz hibáztatni őket. De legalább adnak adatokat a támadásról - ha a védelmi szolgáltatókkal kell dolgoznod, ez a támadás során összegyűjtött információkkal párosul, nagymértékben megkönnyíti az életet.

Ha a Hoster meg fogja érteni (mi igazán frekvencia) - A következő algoritmus szerint dolgozunk - Párhuzamos és blokkolt, blokk és párhuzamos:
Ha több hálózati kártyánk van (ha nem, kérjük, hogy tegye be) - fordítsa őket a LACP módba (ehhez hozzá kell adnia hasonló lehetőségeket a hoster kapcsolóhoz) - ez ténylegesen figyelembe veszi a teljesítménynövekedést (a folyamat külön finomságai) Később megnézzük - a téma hatalmasan vitatkozunk, semmilyen módon nem működik) Menjünk ki az ilyen termelékenységhez:

Második # Netstat -W1 -H -D bemenet (teljes) Kimeneti csomagok ERRS IDROPS BYTES Csomagok Errs Bytes Colls Drops 1.2m 16K 0 65m 1.1m 0 59m 0 0
Kérjük, blokkolja az összes fel nem használt kikötőt és protokollokat - a Syn Attack könnyen megváltoztathatja az UDP támadást.
Valójában bármely Hosnith cég képes ezeket a műveleteket. De ha elég szerencsés voltál, hogy komoly céggel dolgozzon - kérje meg, hogy blokkolja a régióból származó forgalmat, ahol a projekt nagy részét (például Kína) nem él - általában ez azt jelenti, hogy a hálózat Blexolon bejelentése egy bizonyos régió fő szolgáltatói. Szabályként a Syn Attack Ázsiából származik, az olcsóság és a tömeg miatt, ezért egy ilyen bejelentés komolyan segíthet a támadás elleni küzdelemben, vagy akár kizárhatja annak lehetőségét is.

A fent leírt intézkedések mellett javasolhatja a GEODNS-szerű szolgáltatást - bizonyos feltételek mellett (a támadást például egy tartományon végzik), például hasonlóan fog működni a Blexol bejelentéshez bizonyos hálózatok számára.

Végül

Remélem, hogy a cikk segít megbirkózni a szin-flud problémájával, nem haladja meg az afrikai ország éves költségvetését. Természetesen csak a legáltalánosabb ajánlásokat adnak itt, de higgy nekem - az esetek 90% -ában elég elég. És ami a legfontosabb - don "t pánik!

UPD. A folytatás az írás szakaszában van, és hamarosan itt lesz. Maradj velünk!

11.11.2012

Közel zúgás.az üzenetek formájában egy hatalmas adatáramlást értünk el, amelyet mindenféle fórumon és csevegésben kell elfogadni. Ha megnézed a technikai szempontot, Árvíz. - Ez az egyik leggyakoribb. számítógépes támadás fajok, és célja, hogy olyan kérelmet küldjön, amelyet a kiszolgálóberendezés kénytelen lesz elvégezni a szolgáltatás elmulasztása Felhasználói szolgáltatások. Ha egy támadás a számítástechnikai berendezéseken Ez nagyszámú számítógéppel történik, akkor foglalkozik.

Számos típusú DDOS támadások vannak az árvizekkel, az alábbiakban az alábbiak szerepelnek:

• Szin-ack-phud
• Http-árvíz
• Icmp-árvíz
• UDP-árvíz

Szin-ack-phud

Szin-ack-phud - Az egyik típus hálózati támadásokamely az időegységenként hatalmas számú syn lekérdezések küldésére alapul. Az eredmény a szolgáltatás kudarca lesz, amelynek munkája a TCP protokollon alapult. Először az ügyfél kicseréli a Syn zászlót tartalmazó csomagot, amelynek jelenléte jelzi a kapcsolat létrehozásának vágyát. A szerver viszont elküldi a csomagot. Ezen kívül, csak a SYN flag, van egy ACK flag fizet az ügyfél figyelmét arra, hogy elfogadja a kérelmet, és megerősítette megerősítése a létesítmény egy ügyfél kapcsolatot. Válaszol egy csomaggal az ACK zászlóval a sikeres kapcsolatról. Minden kérés a "Connect" -ra az ügyfelek szerverboltjaiból egy bizonyos méretű. A kéréseket a sorban tárolja, mielőtt visszatér az ACK-zászló kliensből. A Syn Attack egy nem létező forrásból származó csomagkiszolgáló küldésen alapul, az összeg meghaladja a sor méretét. A kiszolgáló egyszerűen nem lesz képes válaszolni a csomagolásra a kitalált címre. A sor nem csökken, és a szolgáltatás leállítja a működést.

Http-árvíz.

Http-árvíz. - Szolgáltatás esetén alkalmazandó adatbázis. A támadás célja web szerver.Vagy a bázissal dolgozó szkripten. Elindulni nagy mennyiség Kérjen kéréseket 80 portra, hogy a webszerver nem tudott megfelelő figyelmet fordítani egy másik típus kéréseire. A naplófájlok növekedése és az adatbázissal való együttműködés lehetetlenné válik.

Icmp-árvíz

Icmp-árvíz - egyszerű út csökkentő átvitel és megnövekedett terhelések A veremen ugyanazon típusú ICMP Ping kérések küldésével. Veszélyes a kis fizetési figyelmeztetés esetén hálózati képernyőkMivel a kiszolgáló az Echo végtelen kéréseire válaszolva van. Így ugyanolyan számú bejövő és kimenő forgalom esetében egyszerűen regisztrálja a szabályokat iptables..

UDP-árvíz

UDP-árvíz - Egy másik módja Állítsa be a sávszélességetegy olyan protokollra való munkavégzés alapján, amely nem igényel szinkronizálást az adatok küldése előtt. A támadás az UDP szerver porton található szokásos előfeltételcsomagra kerül. Miután megkapta a csomagot, a szerver megkezdi keményen feldolgozni. Az ügyfél az UDP csomagok egy helytelen tartalmú csomagokat küld. Ennek eredményeképpen a portok már nem működnek, és a rendszer sikertelen lesz.

Elvben, hogy meghatározzák Írja be a DDOS támadást Gyakran nem szükséges sok időt tölteni. Elég tudni kell több jelet. Ha jelentős a naplófájl mérete nőtt - foglalkozol Http-árvíz. Ha egy korlátozott hozzáférés a szolgáltatáshoz A megengedett kapcsolatok száma meghaladása következtében - ez Szin-ack-phud. Ha a kimenő és a bejövő forgalom megközelítőleg egyenlő - foglalkozol ICMP-FLUD.. A legfontosabb dolog, hogy ne felejtsd el fenntartani a szerver biztonsága DDO-tól és kellő figyelmet fordít. A legjobb az, hogy vigyázzon

A Syn Flood az olyan szolgáltatási támadás egyik formája, amelyben a támadó a SyN kérelmek progresszióját küldi egy célkitűzéshez, amely megpróbálta elegendő kiszolgálóeszközt fogyasztani, hogy a keret intehentikus tevékenységet végezzen.

TCP háromirányú kézfogás

Általában, amikor az ügyfél egy TCP-kapcsolatot indít egy kiszolgálóval, az ügyfél és a szerver kereskedelme a Messaz progresszióját, amely rendszeresen működik így:

1) Az ügyfél a Syn (szinkronizálás) üzenet küldésével kapcsolatba lép a kiszolgálónak.

2) A kiszolgáló felismeri ezt a kérést a Syn-Ack visszaadásával az Ügyfélnek.

3) Az ügyfél egy ACK-val reagál, és a kapcsolat felépül.

Ez a TCP háromirányú kézfogásnak nevezik, és a TCP protokoll felhasználásával létrehozott minden kapcsolat létrehozása.

A Syn árvíz támadásának munkája

A SYN árvíz támadása úgy működik, hogy nem reagál a kiszolgálóra a normál ACK-kóddal. A káros ügyfél alapvetően nem küldheti el a normál ACK-t, vagy a sziniciális forrás IP-címének szategizálásával, a Synic-ben a kiszolgálót, hogy a Syn-Ack-t egy torz IP-címre küldje el - ami nem küld egy Ack-t Ez "tudja", hogy soha nem küldött syn.

A felhasználó meglehetősen meglehetősen feszes lesz az edényre, mivel az egyszerű rendszer eltömődik a hiányzó ACK oka. Mindenesetre a támadás során a szerves vevői nyakkendő erőforrásai által a szerveren végzett félig nyitott kapcsolatok meghaladják a szerveren elérhető erőforrásokat. Addigra a kiszolgáló nem férhet hozzá minden ügyféllel.

Biztonság a Syn árvíz támadások ellen

Vannak különböző biztosan megértett ellenintézkedések, többek között:

1) Szűrő

2) Növekvő visszaillesztés.

3) TCP félig nyitott:A félig nyitott kifejezés a TCP-egyesületekre utal, amelyek állapota a két esetleges baleset miatt szinkronizálásból származik, az egyik oldalon. A beállítandó kapcsolatot egyébként embrionális kapcsolatnak nevezik. A szinkronizálás hiánya malignus cél miatt lehet. A TCP-kapcsolatot félig nyitva tartják, amikor a TCP egyesület egyik oldala felé tartó gazdaszervezet elcsúszott, vagy általában evakuálta a rögzítést anélkül, hogy tájékoztatná a flip oldalát. Abban az esetben, ha az egyesület a félig nyitott állapotban maradhat a határtalan időkeretekhez. Ezekben a napokban a félig nyitott társulást rendszeresen használják embrionális kapcsolat ábrázolására, azaz Egy TCP-kapcsolat, amelyet létrehozunk.

A TCP-egyezménynek három állami kerete van a kapcsolat megnyitásához. A kezdő végpont (a) megkezdődése egy syn köteget küld a célállomáshoz (B). A jelenleg embrionális állapotban (különösen Syn_Sent), és a reakció előrejelzése. B Most újratervezi az adatainak adatait, hogy bemutassa a közeledő kapcsolatot a, és közvetítse a csatorna vissza megnyitására (a SYN / ACK csomag). Most, B embrionális állapotban (különösen SYN_RCVD). Ne feledje, hogy a B-t egy másik gép, a B irányításán kívül helyezték el.

Tipikus körülmények között (lásd: Foreswearing of-adminisztrációs támadás a tudatos csalódási esetek), az A lesz a Syn / Ack a B-ről, feljavítja asztalait (amelyek most elegendő adatot kapnak az A-nek küldeni és kaphatsz egy utolsó Ack-t B. Amikor B megkapja ezt az utolsó ACK-t, továbbá megfelelő adatokkal rendelkezik a kétirányú levelezéshez, és a kapcsolat teljesen nyitott. Mindkét végpont jelenleg megalapozott állapotban van.

4) Tűzfalak és proxyok

5) A szinkronizált időzítő csökkentése

6) SYL Cache

7) A legrégebbi félig nyitott TCP újrahasznosítása

8) Hibrid megközelítések

9) SYN Cookie-k:A Syn Cookie egy olyan stratégia, amelyet a Syn Surge Assalers elleni támadások ellen használnak. Daniel J. Bernstein, az eljárás lényeges alkotója, jellemzi a Syn kezeli "A TCP-kiszolgálók megkezdésének megkezdésének konkrét döntéseit". A SYN-kezelések hasznosítása lehetővé teszi a kiszolgáló számára, hogy tartózkodjon a csepegtető egyesületektől, amikor a syn vonal teteje ki van kapcsolva. Inkább a kiszolgáló úgy viselkedik, mintha a Syn Line-t erősítették volna. A kiszolgáló elküldi a megfelelő SYL + ACK reakciót az ügyfél számára, de a Syn Line szakasz elhelyezi. Abban az esetben, ha a szerver ezután megkapja a kapott ACK-reakciót az ügyféltől, akkor a kiszolgáló reprodukálhatja a Syn Line részt a TCP öröklési számának részeként kódolt adatok felhasználásával.

Ha további segítségre van szüksége, forduljon támogató részlegünkkel.

Tényleg azt hiszed, hogy mindent tudsz a DOS-ról? Ezután olvass!

Az elutasítás (DOS), az elutasítás támadásai veszélyesebbek és könnyebbek lettek. A DOS egyfajta
Hálózati támadások (a férgektől a szinárvízig), amelynek célja, hogy a szerver nem érhető el a felhasználók számára. "Elosztott gondolkodás" Ez egy újfajta DOS támadások a Syn Flood "a. Jellemzője, hogy a Syn csomagok milliói nem kerülnek elküldésre a támadott szerverre, azokat az útválasztóba vagy szerverre küldjük, és a válasz a válaszra kerül sor Célszerver. DE
Útvonalak Millió!

Hogy megértsék, hogyan működik, és miért olyan fontos
Emlékezzünk valamire ... A TCP-kapcsolatok megerősítése megtörténik, ha három csomagot oszt meg kettő között
Számítógépek, úgynevezett kézfogás. Itt van egy hozzávetőleges program:

• Syn kliens (webböngésző, fTP kliensstb.) A kiszolgálóval való kommunikációba lép, syn csomagot küld.
• SYN / ACK: Ha egy kapcsolati kérelmet (SYN csomag) kapunk nyitott porta Szerverek, megerősíti a kapcsolatot a SYN / ACK kliens elküldésével a csomaghoz.
• ACK: Ha az ügyfél megkapja a Syn / Ack szervercsomag megerősítését a várt kommunikáció érdekében, akkor válaszol az ACK csomagra.

Mi történik?

A hagyományos "Syn Flooding Dos" támadások két elven dolgoznak:

• Az "Egy-on-one" egyik gép elegendő szin-csomagot jelent a kiszolgálóhoz való hozzáférés blokkolásához.
• "Sok-on-one" sok zombi program,
  Telepítve a különböző szervereken, támadja meg a cél gép szin csomagokat.

A "Reflection Syn Flooding" csomagok használata kerül elküldésre,
De a forrás IP-címmel, amely jelzi a célt. A TCP-kapcsolat a három csomag használatával bármely TCP-szolgáltatást igényel, amely szin-csomagot kap a Syn / ACK csomag. Szerver vagy router, amely ezeket a hamis SYN csomagokat a Syn / Ack válaszol a SYN csomagok által megadott gépre a forráscímmel
IP. Elsődleges internet- és infrastrukturális protokoll
A hálózatok magukat használják maguk ellen!

Részletesen

Bármely TCP kommunikáció egy általános célú kiszolgálóval "tükrözi a" szin csomagokat. Itt
A legnépszerűbb TCP-portok rövid listája:
22 (Secure Shell), 23 (Telnet), 53 (DNS) és 80 (HTTP / WEB). És valójában router "az egész interneten a TCP kommunikáció megerősítése
179 port. Becsüljük meg a támadás lehetőségeit:

• Az alapvető internetes kommunikációs protokollt használja;
• A protokollt használó gépek milliói vannak;
• rendkívül könnyű megszervezni a támadás "syn csomagot
  Reflektorok.

Meglehetősen könnyű létrehozni egy listát,
amelyben a Rauters listán szerepelnek és
Szerverek, amelyek megfelelnek a Syn csomagokhoz. Miután
A SYL "Reflektorok" nagy listája
A hacker hamis szin
Csomagok egyenletesen az egész készleten keresztül
Routerek / szerverek a listában. Az ártatlan "reflektorok" egyike sem fog megtapasztalni
Jelentős hálózati terhelés. Az útválasztók nem menthetnek jelentéseket a csomagokról
előcsatlakozás, ez
A támadáskövetés rendkívül nehéz.

A "reflektorok" (routerek és szerverek) három-négyszer kerül elküldésre nagy mennyiség SYN / ACK csomagok, mint a szin-csomagok száma
kap. TCP kapcsolat, amely megkapja a parancsot
Syn, várja az ACK-választ az autóból, amelyre küldött
SYN / ACK csomag, így a számítógépet néhány perc múlva elküldjük egy másik syn / ack válaszra. A TCP protokoll ezen jellemzője lényegében megszorozza a célgépnek küldött rosszindulatú szin / ack csomagok számát három vagy négyre. Azt is jelenti, hogy az árvíz syn / ack
A csomagok továbbra is támadják meg a célkiszolgálót egy percig
Két, miután a támadó emlékeztetett a támadásra.

Syn Flood támadás egy formája Denial-of-Service támadás, amelyben egy támadó küld nagyszámú Syn kéri a célrendszer szolgáltatásokat használó TCP protokollt. Ez elfogyasztja a rendszer erőforrásait, hogy a rendszer nem válaszoljon a jogszerű forgalomra. Ez a támadás bármely olyan szolgáltatáson fordulhat elő, amely TCP protokollt használ, de főként a webszolgáltatáson. Ebben a bemutatóban átmegyünk a Syn Flood Attacks és az enyhítés lépéseinek alapjain.

A Syn árvíz támadás kihasználja az átviteli vezérlési protokoll (TCP) megvalósítását, amelyet 3-utas kézfogásnak neveznek. A következő lépések, amelyek egy normál 3-utas kézfogásban fordulnak elő:

1. Az ügyfél a Syn (szinkronizálás) üzenet küldésével kéri a kapcsolatot a kiszolgálónak.
2. A szerver elismeri ezt a kérést, ha Syn-Ack-t küld az ügyfélnek.
3. Az ügyfél egy ACK-val válaszol, és a kapcsolat könnyen.

A Syn árvíz támadás működik, ha nem válaszol a kiszolgálóra a várt ACK-kóddal. Ezekkel a félig nyitott kapcsolatokkal a TCP Backlog célgátló gépek feltöltődnek, és így minden új kapcsolat figyelmen kívül hagyhatja. Ez a törvényes felhasználók is figyelmen kívül hagyják.

Ez a támadás két módon történhet:

1. Közvetlen támadás

Ebben a fajta támadásban a támadók gyorsan küldenek szin-szegmenseket az IP-forrás címüket. Ha észlelték, az ilyen típusú támadás nagyon könnyen megvédhető, mert hozzáadhatunk egy egyszerű tűzfalszabályt, hogy blokkolhassuk a csomagokat a támadó forrás IP-címével, amely a támadás.

2. IP-cím spoofing használata

Ez a támadás összetettebb formája a közvetlen támadásnak. Ebben a módszerben a rosszindulatú gép Syn kérés árvizeket küld a TARGÁLASZTÓBÓL SZÁRMAZÓ IP-címekről, ami a kiszolgálónak elküldi a Syn-Ack-t egy hamisított IP-címre - ami nem fog küldeni az ACK-t, mert "tudja", hogy soha nem Syn.

Detektálva a syn árvíz támadását

A syn árvízi támadás generikus tünete egy webhely látogatója, hogy egy webhely hosszú időt vesz igénybe, vagy betölti az oldal néhány elemét, de nem másokat. Ha gyanítja a szinárvíz támadást a web szerver, A "Syn_Received" állapotban szereplő webszerver kapcsolatokat ellenőrizheti.

netstat -Tuna | Grep: 80 | grep syn_recv

Ha számos kapcsolatot mutat ezzel az állapotgal, akkor a szerver a Syn Flood Attack alatt lehet. Ha a támadás nagyszámú SYN_RECV csomagot tartalmaz egyetlen IP-címről, akkor ezt a támadást úgy állíthatja be, hogy hozzáadja az IP-címet a tűzfalban. Ha az APF vagy a tűzfal telepítve van a szerveren, ezt a következő parancs végrehajtásával végezheti el:

aPF -D iPaddress
CSF -D iPaddress

Védekező szinárvíz támadás

Syn cookie-k használata

Ez a leghatékonyabb módszer a szinárvíz támadásának védelme. A SYN Cookie-k használata lehetővé teszi a kiszolgáló számára, hogy elkerülje a kapcsolódásokat, ha a Syn Sorue kitölti. Ehelyett a kiszolgáló úgy viselkedik, mintha a Syn sor kibővült volna. A kiszolgáló elküldi az Aproprite Syn + ACK reakciót az ügyfélre, de eldobja a Syn Queue bejegyzést. Ha a kiszolgáló ezt követően egy későbbi ACK-reakciót kap az ügyféltől, az Abynd a Syn Sorue bejegyzés rekonstruálásához a TCP szekvencia számában kódolt.

A SYN Cookie-k engedélyezhetők a /etc/sysctl.conf fájl hozzáadásával

net.ipv4.tcp_syncookies \u003d 1.

A SYSCTL konfigurációs fájl módosítása után a következő parancsot kell végrehajtania a SYSTL beállításainak betöltéséhez a /etc/sysctl.conf fájlból

A SYL RAKLOG SCEUE növelése

Az opcionális védekezési technika az, hogy növelje a SYS visszahúzási sor méretét. Az alapértelmezett méret 1024. Ezzel az alábbiakhoz képest a /etc/sysctl.conf

net.ipv4.tcp_max_syn_backlog \u003d 2048.

A SYN_ACK újrapróállításainak csökkentése.

A TCP_SYNACK_REMETRIES kernel paramétere a kernel lezárja a SYN_RECV államkapcsolatokat korábban. Az alapértelmezett érték 5.

net.ipv4.tcp_synack_retries \u003d 3.

SYN_RECV időtúllépés beállítása.

A SYN_RECV időtúllépési értékének csökkentése segít a Syn Flood Attack csökkentésében. Az alapértelmezett érték 60, és 40 vagy 45-re csökkenthetjük. Ezzel a következő vonal hozzáadásával a sysctl.conf.

net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_recv \u003d 45.

Az IP-spoofing megelőzése.

A következő SYSTL paraméter segít megvédeni az IP-spoofing ellen, amely a Syn Flood Attacks számára készült.

net.ipv4.conf.all.rp_filter \u003d 1.

Sok hosting cég biztosít védelmet a Syn Attack elleni tűzfalak telepítésével, amely szinárvíz védelmet alkalmaz, mint például a Netscreen vagy az AppSafe.