Syn povodňových útokov. Ochrana Linux Server zo synmostatskej povodní: Základy a metódy. Ak nič pomáha

Spoofed SYN je útok, na ktorom sú paketové hlavičky kované takým spôsobom, že miesto reálneho odosielateľa má ľubovoľnú alebo neexistujúcu IP adresu.

Pretože v podstate syn je častým nástrojom " intenzívny konkurenčný boj"A v rovnakej dobe, väčšina z riešení DDOS zmierňovanie ukazujú impozantný efektivitu tejto formy útokov, potom začneme s Syn-Flood, s ohľadom na spooofed typ útoku, ako najpôsobivejšie z nich.

Vyhlásiteľnosť

Vyhlásenie číslo 1.

Všetci opísané v tejto a následnej téme - v skutočnosti, nie je know-how. Všetky techniky sú otvorené a v každom prípade (niektoré - od roku 2003) boli publikované v otvorených zdrojoch. Vzal som prácu len na ich zníženie do jedného a opísať " globálna stratégia»Ochrana orientovaná na ochranu správcovia systémuServírovanie malých projektov nachádzajúcich sa na zvýraznených serveroch (opísaná stratégia môžu byť použité v spoločných projektoch, ale implementácia bude výfukový hrozné, že o tom nie je žiadna túžba písať)

Vyhlásenie číslo 2.

V téme nepovažovať sa Hardvérové riešenie obrany - po prvé, že sú dokonale zohľadnené pri početných článkov výrobcov samotných týchto riešení, za druhé, projekty, ktoré majú jeden server nemôže často dovoliť (zhruba povedané, cenu za pracovných štartov riešenie od 20 tisíc eur), tretí - za Autor nemá dostatočné údaje a skúsenosti s prácou s takýmto špecializovaným železom, aby sa dosiahli globálne závery o metódach a účinnosti takejto ochrany - je to sotva zaujímavé pre niekoho prehľadu o rozhodovaní dvoch dodávateľov z tuctov, ktoré nie sú podporované vážnym prácou ich používania. Stojí za zmienku, že obe hardvérové \u200b\u200briešenia, ktoré som musel používať, sú zvyčajne veľmi efektívne na synchronizáciách. pri vykonávaní viacerých podmienok.

Vyhlásenie číslo 3.

V téme nepovažovať sa Protektori ochrany proti útokom DDOS - servisní inžinieri týchto organizácií budú môcť lepšie a viac opísať svoje pracovné metódy. Pravdepodobne by bolo užitočné, aby sa preskúmanie samotných poskytovateľov ako takých - z pohľadu klienta (v rôznych časoch, projekty, v ktorých som sa zúčastnil, klienti Dragonara, Blacklotus, Gigenet, VISTNET (v súčasnosti), prolexic (v súčasnosti) a celý rad predajcov služieb uvedených spoločností), ale to je vyradený z rámca tému, skúsme si o tom pohovoriť neskôr. Opäť je potrebné poznamenať, že všetci aktéri ochrany, aby projekty autorové pracovať alebo pracoval mala vyrovnať s problémom SYN útokmi, ktoré ukazujú dobrú účinnosť.

Niektoré mechaniky a wikipédia

Nechcel by som sa obrátiť tému do RFC zdanlivosti a citovať a tak všetky známe pravdy, preto sa budeme obmedziť na skutočnosť, že TCP je zaujímavý z hľadiska útoku syn top.

Po prvé, TCP je jedným z najpoužívanejších transportných protokolov, na ktorých sa nachádza väčšina aplikovaných protokolov. Po druhé, má množstvo špeciálnych funkcií (jasne potvrdené začatie a ukončenie spojenia, kontroly prietoku atď.) - čo z neho robí relatívne zložité a náročné na zdroje.

V kontexte článku je zaujímavé zvážiť mechanizmus pripojenia TCP - tripartitný handshake. V prvej aproximácii na úrovni "CLIENT-SERVER", to vyzerá takto: Klient pošle server Syn-Pack, ku ktorému SYN + ACK. Clyient posiela ACK v reakcii na syn serverom a spojenie ide do stavu nainštalovaný.

Syn ATTACT - odosielanie na otvorený port hmoty paketov SYN, ktorá nevedie k inštalácii skutočného spojenia pre jeden alebo iné dôvody, ktoré znamenajú vytvorenie "polovičných pripojení", ktoré prepadnú frontu pripojenia, nútením server odmietnuť udržanie pravidelných zákazníkov. Plus, TCP RFC zaväzuje server, aby reagoval na každú prichádzajúcu zvukovú inštaláciu, ktorá navyše bije prostredníctvom serverových zdrojov a prostredníctvom dátového kanála. Inými slovami, ak ste už narazili - v podstate - podľa ktoréhokoľvek DDOS útočníci - opísané vyššie, poznáte bez mňa. Choďte na špecifické odporúčania.

Jeden v poli

Použite to, čo je po ruke, a nehľadiac na inú vec - čo možno urobiť, byť sám s útokom? Úprimne, nie moc, ale to sa stane, že je dosť. To popisuje, čo robiť s FreeBSD, as v našich projektoch v 90% prípadov Tento systém sa používa. Rozdiel však bude malý z operačného systému na OS - zásady sú rovnaké.

najprv - Je potrebné pristupovať k serveru (áno, môže to byť aj ťažké, najmä ak je útok veľký a / alebo dlhý čas - server jednoducho si vybral všetky pufre alebo má 100% zaťaženie CPU). Zvyčajne je to dosť na to, aby zavrieť napadnutú službu brány firewall alebo jednoducho - služba je splatiť (keď je však útok zistený, musí sa to urobiť rovnako, aspoň na to, aby bolo možné urobiť niečo iné server).

Druhý - Získajte prvé informácie o útoku. Ak ste už boli vykonané na monitorovanie prichádzajúcej prevádzky - vynikajúce, ak nie, otvorte bránu firewall / zvýšenie služby a používajte starý dobrý tcpdump a netstat, aby ste zistili, čo napadnuté a aká je veľkosť útoku v balíčkoch za sekundu. Pozdĺž cesty, môžete rýchlo zobraziť siete, z ktorých hromadné požiadavky choď - či sú v typickom publiku pre vašu službu. To všetko je užitočné v budúcnosti.

Tretí - Na rozhraní, kde sa napadnutá IP adresa nachádza len jedna, ktorá by mala zostať. Každý alias zníži výkon systému. Je vyjadrený v rôznych číslach rôzne systémyAle tieto čísla sú vážne, každý alias môže stáť ďalšie 2-3 tisíc balíčkov za sekundu.

Štvrtý - Ak používate akýkoľvek brány firewall na prichádzajúce prevádzku na zapadnutú adresu - všetky pravidlá okrem blokovania musia byť zakázané - napríklad so spoofed syn-záchvat pravdepodobnosť, že syn-proxy z PF pomôže nulu a CPU bude trvať veľmi vážne.

Piaty - Konfigurácia systému. Zázraky tu nebudú, pre nich potrebujete klavír v kríkoch vo forme pripravených vodičov a špeciálne zakúpené sieťové kartya jediné dve všeobecné odporúčania, ktoré sa vážne odrážajú v možnosti prijímania útokov synchronizácií, sú už dlho známe:
- MIDIFIKÁCIA SPRACOVANIE PRACOVNOSTI NA SERVEROVÉHO SPRACOVANIA;
- Zapnite syn-cookies a vypnite syn-cache.

Zvyšok ladiaceho systému pomôže stlačiť ďalších 5-10 tisíc balíčkov, ktoré v podmienkach útoku je nepravdepodobné, že by sa určovali. V prípade, ak je užitočný pre niekoho - to je maximálna spoločná konfigurácia (bez zahrnutia možností, ktoré si vyžadujú rebeling jadro alebo špecializovaných vodičov):

Net.isr.direct \u003d 1 kern.ipc.nmbclusters \u003d 400000 net.inet.tcp.nolocaltimewait \u003d 1 net.inet.tcp.recvspace \u003d 16384 net.inet.tcp.sendspace \u003d 32768 net.inet.tcp.msl \u003d 5000 net.inet.tcp.blackhole \u003d 1 net.inet.ip.intr_queueueue_maxlen \u003d 3000 net.inet.tcp.blackhole \u003d 2 net.inet.udp.blackhole \u003d 1 net.inet.icmp.log_redirect \u003d 1 net.inet.IP .redirect \u003d 0 net.inet.icmp.maskrepl \u003d 1 \u003d 1 net.inet.tcp.syncookies_only net.route.netisr_maxqlen \u003d 4096 kern.ipc.maxsockbuf \u003d 83886080 net.inet.ip.intr_queue_maxlen \u003d 10240
Systém stolného počítača nakonfigurovaného v súlade s týmito odporúčaniami:

Prvý # NetSTAT -W1 -H -D vstup (celkom) výstupné pakety Errs Idrops Bytes Packets Errs Byes Colls Drops 260K 0 0 15M 230K 0 13M 0 0 0
Systém IBM System X3630 M3 nakonfigurovaný v súlade s týmito odporúčaniami:

Druhá # netstat w1 -h -d vstup (spolu) výstup balíčky chybuje Idrops Bytes balíky chybuje Bytes Colls Kvapky 477K 0 0 36M 457K 0 25M 0 0
Detailné konfigurácie OS a strojov, a v skutočnosti, ako sme sa práve na ne - Pokúsim sa zistiť v ďalšom téme.

Jedna vec je hotová

Čo robiť okrem ladenia systému v zásade, je tu niečo urobiť.

Stojí za to urobiť malú odbočku - väčšina hostingových spoločností pomôže v boji proti útoku mimoriadne neochotne, ak sú užitočné, a v tom je ťažké ich viniť. Aspoň budú však poskytovať údaje o útoku - ak musíte pracovať s poskytovateľmi ochrany, toto spolu s informáciami, ktoré vás zhromažďujú počas útoku, výrazne uľahčuje život.

Ak sa Hoster chytil porozumenie (čo naozaj frekvencia) - Pracujeme podľa nasledujúceho algoritmu - Paralelne a blokované, blokové a paralelné:
Ak máme niekoľko sieťových kariet (ak nie, žiadame, aby sme ich položili) - Otočte ich do režimu LacP (pre to musíte zahrnúť podobné možnosti na prepínač HOSTER) - to bude skutočne zvážiť zvýšenie výkonu (samostatné jemnosti procesu sa pozrieme neskôr - argumentovať nesmiernej rámci témy nefunguje v žiadnom prípade), ideme von do takej produktivite:

Druhá # netstat w1 -h -d vstup (spolu) výstup balíčky chybuje Idrops Bytes balíky chybuje Bytes Colls Kvapky 1,2 m 16K 0 65 m 1,1 m 0 0 0 59 m
Zablokujte všetky nepoužité porty a protokoly - útok Syn môže ľahko zmeniť útok UDP.
Vlastne každá spoločnosť Hosnith je schopná týchto akcií. Ale ak ste mali šťastie, že budete pracovať s vážnou spoločnosťou - požiadajte vás, aby ste blokovali návštevnosť z regiónu, kde väčšina divákov vášho projektu (napríklad Čína) nežije - zvyčajne to znamená, že Blexolon oznámenie pre vašu sieť hlavných poskytovateľov určitého regiónu. Spravidla je syntetická útok z Ázie, kvôli lacnosti a množstvu, a preto takéto oznámenie môže vážne pomôcť v boji proti útoku alebo dokonca vylúčiť jeho možnosť.

Okrem vyššie uvedených opatrení, môžete poradiť používať službu Geodns - za určitých podmienok (útok sa vykonáva na doméne, napríklad) bude fungovať podobne ako oznámenie Blexolu pre určité siete.

Nakoniec

Dúfam, že článok vám pomôže vyrovnať sa s problémom syn-flud, nepresahujúci ročný rozpočet každej africkej krajiny. Samozrejme, len tu sú uvedené len tie všeobecné odporúčania, ale verte mi - v 90% prípadov, sú dosť dosť. A najdôležitejšie - don "t panika!

Up. Pokračovanie je v etapách písania a čoskoro bude tu rozdané. Ostaň s nami!

11.11.2012

Blízko Floom.rozumie sa obrovským tokom údajov vo forme správ, ktorá je odoslaná na uloženie všetkých druhov fór a chaty. Ak sa pozriete na technický hľadisko, povodeň. - Toto je jedno z najbežnejších. druhy počítačového útokuA jeho cieľom je poslať takýto množstvo požiadaviek, že serverové zariadenie bude nútené vykonávať nevykonávanie Užívateľské služby. Ak Útok na výpočtové zariadenia Vykonáva sa s veľkým počtom počítačov, potom sa zaoberáte.

Existuje niekoľko typov útokov DDO s povodňami, hlavné z nich sú uvedené nižšie:

• Syn-akk-flud
• Http-povodne
• ICMP-povodeň
• Udp-povodne

Syn-akk-flud

Syn-akk-flud - jeden z typov sieťové útokyktorý je založený na odoslaní obrovského počtu zvukových dotazov na jednotku času. Výsledkom bude zlyhanie služby, ktorej práca bola založená na protokole TCP. Najprv si klient vymieňa balík obsahujúci príznak, ktorej prítomnosť označuje túžbu vytvoriť pripojenie. Server zase pošle balík. Okrem toho, s výnimkou vlajky SYN, tam je príznak ACK, ktorý venuje pozornosť klienta k tomu, že je žiadosť prijatá a potvrdená potvrdenie o zriadení pripojenia klienta. Reaguje s balíkom s Ack Flag o úspešnom spojení. Všetky požiadavky na "Connect" zo serverov zákazníkov v súlade s určitou veľkosťou. Žiadosti sa uložia do frontu pred vrátením z klienta ACK Flag Client. Útok SYN je založený na odosielaní paketového servera z neexistujúceho zdroja, množstvo prevyšuje veľkosť frontu. Server jednoducho nebude môcť odpovedať na balík na fiktívnej adrese. Fronta sa nezníži a služba prestane fungovať.

Http-povodne.

Http-povodne. - platí v prípade služby s databáza. ATTACT je zameraný buď webový server.Alebo na skripte, ktorý pracuje so základňou. Vypnúť veľká suma Získajte požiadavky na 80 portov, takže webový server nebol schopný venovať náležitú pozornosť požiadavkám iného typu. Zvýšenie log súborov a práca s databázou sa stáva nemožným.

ICMP-povodeň

ICMP-povodeň - jednoduchý spôsob zníženie priepustnosti a zvýšené zaťaženia Na stohu prostredníctvom odoslania rovnakého typu požiadaviek ICMP Ping. Nebezpečný v prípade malých venovaných pozornosti sieťové obrazovkyKeďže server reagujúci na echo nekonečné požiadavky je odsúdený na. Takže v prípade rovnakého počtu prichádzajúcich a odchádzajúcich prevádzky, jednoducho zaregistrovať pravidlá v iptables..

Udp-povodne

Udp-povodne - Inač nárokovou šírkou pásmaNa základe práce s protokolom nevyžaduje synchronizáciu pred odoslaním údajov. Útok prichádza do obvyklého predpokladu na porte Server UDP. Po obdržaní balíka sa server začne spracovať tvrdo. Klient pošle UDP pakety nesprávneho obsahu jedného po druhom. Výsledkom je, že porty už nebudú funkciu a systém zlyhá.

V zásade určiť typ DDOS útoku Často nie je potrebné stráviť veľa času. Stačí vedieť niekoľko značiek. Ak je to významné veľkosť protokolového súboru sa zvýšila - Zaoberáte sa Http-povodne. Ak obmedzený prístup k službe V dôsledku prekročenia počtu prípustných pripojení - toto Syn-akk-flud. Ak odchádzajúce a prichádzajúce prevádzky sú približne rovnaké - Zaoberáte sa ICMP-FLUD.. Hlavnou vecou nie je zabudnúť bezpečnosť svojho servera Z DDO a dajte jej náležitú pozornosť. Najlepšie je postarať sa o

Syn povodne je formou útoku zamietnutia servisu, v ktorom útočník pošle progresiu synchtických požiadaviek na rámcový rámec, ktorý sa snaží konzumovať dostatok serverových aktív, aby sa rámec intentickej aktivity.

TCP trojcestný handshake

Typicky, keď zákazník začína prepojenie TCP so serverom, zákazníkom a serverom obchodu s postupom Messaz, ktorý pravidelne beží týmto spôsobom:

1) Zákazník požiada o pripojenie odoslaním správy Syn (Synchronize) na server.

2) Server túto požiadavku vykazuje odoslaním syn-ACK späť k zákazníkovi.

3) Zákazník reaguje s AKK a pripojenie je vybudované.

Toto je známe ako TCP trojcestný handshake a je vytvorenie pre každé pripojenie nastaviť s využitím protokolu TCP.

Opracovanie útoku syn

Syn povodňový útok funguje tak, že nereaguje na server s normálnym AKK kódom. Znišný zákazník môže buď v podstate neposlať normálny Ack, alebo satirizovať zdrojovú IP adresu v synic, prinášať ABYDE server, aby poslal syn-ACK na skreslenú IP adresu - ktorá nebude pošle ACK na pozemok "Vie", že nikdy neposlal syn.

Užívateľ bude pevne pevne sedieť na atext, pretože priamy systém by mohol byť rovnako dôvodom pre chýbajúce ACK. V každom prípade, v útoku, polovica otvorených spojení vyrobených z renoduchých zákazníckych zdrojov na serveri a môže v dlhodobom horizonte prekonať dostupné zdroje na serveri. Do tej doby, server nemôže byť prístupom všetkých zákazníkov.

Bezpečnosť proti útokom na povodniach

Existujú rôzne chápané protiopatrenia vrátane:

1) Filtrovanie

2) Zvýšenie spätného vzťahu.

3) TCP HALF-OPEN:Termín Polovičné tvrdenia a združenia TCP, ktorých stav je mimo synchronizácie medzi týmito dvoma potenciálne kvôli nehode na jednej strane. Spojenie, ktoré je nastavené, je inak nazývané embryonálne pripojenie. Absencia synchronizácie by mohla byť kvôli malígnemu účelu. Pripojenie TCP je nezohnané tak, aby bolo otvorené, keď hostiteľ k jednej strane združenia TCP zabuchol, alebo všeobecne evakuloval pripevnenie bez informovania flipovej strany. V prípade, že združenie môže zostať v polovici otvoreného stavu pre bez obmedzených časových rámov. Termín Half-Open Association sa pravidelne používa na zobrazenie embryonálneho spojenia, t.j. Spojenie TCP, ktoré sa nachádza.

Dohovor TCP má tri štátny rámec na otvorenie spojenia. Ak chcete začať s, začiatok koncového bodu (A) pošle montónový balík na miesto určenia (B). A je v súčasnosti v embryonálnom stave (najmä syn_sent) a predvídaním reakcie. B Teraz prepracuje svoje údaje o časti, aby ste preukázali približovacie pripojenie z A, a sprostredkovalo požiadavku na otvorenie chrbta chrbta (balík SYN / ACK). Teraz je B dodatočne v embryonálnom stave (najmä syn_rcvd). Všimnite si, že B bol vložený do tohto stavu iným strojom, mimo kontroly B.

Pod typickými podmienkami (pozri ATESWEARING OF ATTAKTUÁLNY NA SLOKOVANIE SKUPINY), ZÍSKAJTE SYN / ACK Z B, generálne revíziu svojich tabuliek (ktoré majú teraz dostatok údajov pre A pre odosielanie a dostať sa) a poslať posledný ACK B. Keď B dostane tento posledný ACK, má dodatočne primerané údaje pre obojsmernú korešpondenciu a pripojenie je úplne otvorené. Obidva koncové body sú v súčasnosti v etablovanom stave.

4) firewally a proxy

5) Zníženie časovača

6) SYSTAVA

7) Recyklácia najstaršieho polčasu TCP

8) Hybridné prístupy

9) Syn Cookies:Syn Cookie je stratégia, ktorá sa používa na opätovné proti únaveniu synchronizácie. Daniel J. Bernstein, základný tvorca procedúry, charakterizuje SYNOVÉ zaobchádza ako "Osobitné rozhodnutia začiatku TCP usporiadanie čísla TCP serverov." Využívanie SYN LAPS umožňuje, aby sa server zdržal zrušenia asociácií pri vypnutí. Server sa skôr nesie, akoby bol zosilnený syn. Server posiela späť vhodnú Syn + ACK reakciu na zákazníka, ale disponuje sekcii Syn Line. V prípade, že server potom dostane výsledný Ack reakcie od zákazníka, The Line sekcie Server reprodukovať Syn Využitie dáta zakódované ako súčasť TCP dedičské číslo.

Ak potrebujete ďalšiu pomoc, obráťte sa na naše oddelenie podpory.

Naozaj si myslíte, že viete všetko o DOS? Potom si prečítajte!

Odmietnutie-service (DOS), útoky odmietnutia, sa stali nebezpečnejšie a ľahšie. DOS je odroda
Sieťové útoky (z červami na napládanie povodní), ktorých účel na vykonanie servera nie je k dispozícii pre používateľov. , Distribuovaný reflexie 'Jedná sa o nový druh útokov DOS pomocou SYN flood "a. Jeho znakom je, že milióny SYN pakety nie sú odoslané do napadnutého servera, sú zaslané k smerovaču" s alebo server a odpoveď príde na Cieľový server. ALE
Smerovače Existujú milióny!

Pochopiť, ako to všetko funguje a prečo je to tak dôležité
Pamätajme si niečo ... Potvrdenie TCP Connections sa vyskytuje zdieľaním troch balíkov medzi dvoma
Počítače, tzv. Handshake. Tu je približný systém:

• Syn Client (webový prehliadač, fTP klient, atď.) Vstúpi do komunikácie so serverom, posielať mu balík Syn.
• Syn / ACK: Keď je požiadavka na pripojenie (Balíček SYN) otvorená porta Servery, potvrdzuje spojenie odoslaním klienta Syn / ACK do balíka.
• ACK: Keď klient dostane potvrdenie balíka SYN / ACK Server pre očakávanú komunikáciu, potom reaguje balíkom ACK.

Čo sa deje?

Tradičné "SYN ABOSTION DOS" Útoky na dve zásady:

• "One-on-one" jeden stroj označuje dostatočné inštancie balíkov na blokovanie prístupu k serveru.
• "Mnohé-on-one" mnoho programov zombie,
  Nainštalované na rôznych serveroch, zaútočiť na balenie cieľového zariadenia.

Používanie balíkov "Reflection SYN FIGHTING" sa odosielajú,
Ale s zdrojovou adresou IP označujúca cieľový stroj. TCP Pripojenie pomocou týchto troch balíkov vyžaduje akúkoľvek službu TCP, ktorá prijíma balík Syn / ACK. Server alebo router, ktorý dostane tieto falošné inštalatérové \u200b\u200bbalíčky Send / ACK Odpovede na zariadenie zadané systémom Syn Balialy so zdrojovou adresou
IP. Protokol primárneho internetu a infraštruktúry
Siete sa používajú proti sebe!

Detailne

Akákoľvek komunikácia TCP s generálnym serverom je možné použiť na "odrážať" synchronizačné pakety. Tu
Krátky zoznam najobľúbenejších portov TCP:
22 (Secure Shell), 23 (Telnet), 53 (DNS) a 80 (HTTP / WEB). A skutočne smerovač "na celom internete bude potvrdený komunikáciou TCP
179 port. Odhadme potenciál tohto útoku:

• Využíva základný internetový komunikačný protokol;
• Stroje, ktoré používajú tento protokol, existujú milióny;
• extrémne jednoduché usporiadanie útoku 'Syn paketu
  Reflektory ".

Môže byť pomerne ľahko vybudovať zoznam,
v ktorom budú členovia Ruuters
Servery, ktoré reagujú na balíčky. Majúce
Veľký zoznam syn "reflektorov", každý
Hacker môže distribuovať falošnú syn
Balíky rovnomerne cez celú sadu
Smerovače / servery v zozname. Žiadny z nevinných "reflektorov" nebude zažiť
Podstatné sieťové zaťaženie. Smerovače nezaujímajú správy o balíkoch s požiadavkami
pred pripojením, robí to
Sledovanie útoku je mimoriadne ťažké.

"Reflektory" (routery a servery) budú odoslané trikrát alebo štyrikrát veľká kvantita Syn / ACK balíčky ako počet synchtických paketov, ktoré
dostať. TCP pripojenie, ktoré prijíma príkaz
Syn, čaká ACK odozvu z auta, na ktorú poslal
Syn / ACK balíček, takže počítač je odoslaný na ďalšie reakcie syn / ACK za pár minút. Táto funkcia protokolu TCP je v podstate znásobená počtom škodlivých paketov SYN / ACK odoslaných do cieľového stroja na tri alebo štyri. Znamená to tiež, že záplavová syn / ACK
Balíky budú naďalej zaútočiť na cieľový server na minútu alebo
Dvaja aj potom, čo útočník pripomenul útok.

Syn povodňový útok je forma útoku zamietnutia servisu, v ktorom útočník pošle veľký počet žiadostí o informácie o službách cieľového systému, ktoré používajú protokol TCP. To spotrebuje systémové zdroje, aby systém nereagoval na dokonca legitímnu premávku. Tento útok sa môže vyskytnúť na akýchkoľvek službách, ktoré používajú protokol TCP, ale hlavne na webovej službe. V tomto návode budeme prejsť základmi útokov ANTION ANTIONESS a podrobne o zmierňovaní.

Syn povodňový útok využíva implementačnú charakteristiku protokolu kontroly prenosu (TCP), ktorý sa nazýva trojcestný handshake. Nižšie sú uvedené kroky, ktoré sa vyskytujú v normálnom trojsmernom handshake:

1. Klient požiada o spojenie odoslaním správy Syn (Synchronize) na server.
2. Server túto požiadavku potvrdí zaslaním syn-ACK späť k klientovi.
3. Klient reaguje s AKK a pripojenie je ľahko rozdelené.

Syn povodňový útok funguje tým, že nereaguje na server s očakávaným kódom AKK. Týmito polovičnými otvorenými pripojeniami sa cieľové stroje TCP Backlog naplní a preto sa všetky nové pripojenia môžu ignorovať. To spôsobí, že legitímne používatelia sa tiež ignorujú.

Tento útok sa môže uskutočniť dvoma spôsobmi:

1. priamy útok

V tomto druhu útoku útočníci rýchlo posielajú zvukové segmenty s off spoofing ich adresu IP zdrojov. Po zistení, tento typ útoku je veľmi ľahko obhajovaný, pretože môžeme pridať jednoduché pravidlo firewallu na blokovanie paketov s útočníkom Source IP adresa, ktorá bude útok.

2. Použitie spoofovania IP

Toto je zložitejšia forma útoku priamym útokom. V tejto metóde bude škodlivý stroj pošle povodne SYN povodne do cieľového stroja z spoofovaných IP adries, čo spôsobuje, že server posielať syn-ACK na falšovanú IP adresu - ktorá nebude posielať ACK, pretože to "vie" Poslal syn.

Detekcia SYN ATTACK

Všeobecný príznak syn povodňového útoku na návštevník webových stránok je, že stránka trvá dlho na načítanie, alebo načíta niektoré prvky stránky, ale nie iné. Ak máte podozrenie, že syn povodňový útok na a webový server, Môžete použiť na kontrolu požiadaviek na pripojenie webového servera, ktoré sú v štáte "Syn_received".

netstat -tuna | GREP: 80 | grep syn_recv

Ak sa zobrazí početné spojenia s týmto stavom, server by mohol byť pod útokom. Ak je útok priamy s veľkým počtom paketov Syn_RECV z jednej IP adresy, môžete tento útok zastaviť pridaním adresy IP v bráne firewallu. Ak máte APF alebo Firewall nainštalovaný na vašom serveri, môžete splniť vykonaním nasledujúceho príkazu:

aPF -D iPaddress
CSF -D iPaddress

Obhajobný syn povodňový útok

Používanie súborov SYN COOKIES

To je najefektívnejšia metóda obhajovania od útoku syn povodňa. Použitie SYN COOKIES umožňujú serveru, aby sa zabránilo pádu pripojenia, keď sa front SYN) vyplní. Namiesto toho sa server chová, akoby bol front SYN zväčšený. Server odošle spätnú montáž Syn + ACK na klienta, ale odhodí vstup frontu Syn. Ak server potom dostane nasledujúcu odpoveď ACK od klienta, je ARYD, aby rekonštruoval vstup front frontu pomocou kódovaného v sekvenčnom čísle TCP.

Syn Cookies môžu byť povolené pridaním nasledujúceho na stránku /etc/sysctl.conf

net.ipv4.tcp_syncookies \u003d 1.

Po úprave konfiguračného súboru SYSCTL musíte vykonať nasledujúci príkaz na načítanie nastavení systému Systl zo súboru /etc/sysctl.conf

Zvýšenie frontu SYN SROUPLOG

Voliteľná obranná technika je zvýšenie veľkosti frontového frontu SYS. Predvolená veľkosť je 1024. Toto je možné vykonať pridaním nasledujúceho na adresu /etc/sysctl.conf

net.ipv4.tcp_max_syn_backLog \u003d 2048.

Zníženie opakovaniach syn_ack.

Vyškolenie parametrov jadra TCP_SYNACK_RETRIES spôsobí, že jadro zatvorí stavové pripojenia Syn_RECV skôr. Predvolená hodnota je 5.

net.ipv4.tcp_synack_retries \u003d 3.

Nastavenie časového limitu SYN_RECV.

Zníženie hodnoty časového limitu pre SYN_RECV pomôže pri znižovaní útoku. Predvolená hodnota je 60 a môžeme ju znížiť na 40 alebo 45. Toto sa dá vykonať pridaním nasledujúceho riadku na SYSCTL.CONF.

net.ipv4.netfilter.ip_connTrack_tcp_TIMEOT_SYN_RECV \u003d 45.

Prevencia IP Spoofing

Nasledujúci parameter SYSTL pomôže chrániť pred IP spoofing, ktorý bol vydaný za záchvaty povodní.

net.ipv4.conf.all.rp_filter \u003d 1.

Mnoho hostingových spoločností poskytujú ochranu proti útoku na nasadenie brány firewall, ktoré zamestnávajú rozsudku povodňovej obrany, ako napríklad Netscreen alebo AppSafe.