Содержание
- Основы протокола TCP: как работает SYN Flood
- Нет ошибок, нет стресса - ваше пошаговое руководство по созданию изменяющего жизнь программного обеспечения без разрушения вашей жизни
- Slowloris
- Тактика ответных действий против атак SYN Flood
- Сохраняйте бдительность, защищайте от атак
Источник: Aleutie / Dreamstime.com
вынос:
С ошеломляющими 65 535 TCP-портами, доступными на одном IP-адресе, легко понять, почему в Интернете так много взломов безопасности. Но хотя SYN-атаки вряд ли являются новыми, их все еще трудно устранить.
Уровень приемлемого риска очевиден, когда любой бизнес запускает веб-сайт и размещает его в Интернете, открывая свои двери для всех посетителей. Некоторые компании могут не осознавать, что некоторые риски являются непреодолимыми даже для крупных корпораций и государственных учреждений. В течение середины и конца 90-х годов один из видов приступов разрушительных побочных эффектов считался практически неразрешимым - и это продолжает оставаться проблемой по сей день.
Это известно как SYN-атака. С ошеломляющими 65 535 портами TCP, доступными на одном IP-адресе, и все это может сделать любое программное обеспечение, прослушивающее эти порты уязвимым, легко понять, почему в Интернете так много взломов безопасности. SYN-потоки полагаются на тот факт, что веб-серверы будут отвечать на очевидно законные запросы на веб-страницы, независимо от того, сколько запросов сделано. Однако, если злоумышленник сделает много запросов, после чего веб-сервер останется подключенным и не сможет продолжать обслуживать действительно законные запросы, произойдет авария и произойдет сбой веб-сервера. На базовом уровне это - то, как работают потоки SYN. Здесь мы рассмотрим некоторые наиболее распространенные типы SYN-атак и то, что могут сделать сетевые и системные администраторы для их предотвращения.
Основы протокола TCP: как работает SYN Flood
Благодаря очевидному отсутствию каких-либо очевидных методов смягчения последствий, онлайновые компании совершенно справедливо опасались атак SYN, когда их впервые обнаружили в дикой природе.
Твердое попадание под различные виды атак типа «отказ в обслуживании» сделало SYN наиболее разочаровывающим для системных администраторов и администраторов сетей, так как, по крайней мере, якобы трафик атаки представлялся как законный трафик.
Чтобы оценить простоту - некоторые могут сказать красоту - этого вида атаки, нам нужно немного подробнее рассмотреть протокол, ответственный за значительную часть трафика интернета, Протокол управления передачей (TCP).
Цель такой атаки - легко поглотить все доступные ресурсы веб-серверов, убедив сервер в том, что он обслуживает данные для законных посетителей. В результате в сервисе отказывают серверам законные пользователи.
Соединения TCP, которые используются для просмотра веб-сайтов и твитов, среди миллионов других онлайн-функций, инициируются так называемым трехсторонним рукопожатием. Предпосылка для рукопожатия проста, и после того, как обе стороны соединены, этот сложный протокол обеспечивает такие функциональные возможности, как ограничение скорости передачи данных серверу получателю в зависимости от пропускной способности, доступной получателю.
Начиная с пакета SYN (который означает синхронизацию), отправляемого от посетителя или клиента, сервер затем эффективно отвечает пакетом SYN-ACK (или подтверждением синхронизации), который затем подтверждается посетителем, который представляет собой пакет ACK свое собственное в ответ. В этот момент соединение установлено, и трафик может проходить свободно.
Нет ошибок, нет стресса - ваше пошаговое руководство по созданию изменяющего жизнь программного обеспечения без разрушения вашей жизни
Вы не можете улучшить свои навыки программирования, когда никто не заботится о качестве программного обеспечения.
Атака SYN-потока обходит этот плавный обмен, не отправляя ACK на сервер после того, как его первоначальный SYN-ACK был отправлен. Либо этот пакет полностью пропущен, либо ответ может содержать вводящую в заблуждение информацию, такую как поддельный IP-адрес, что вынуждает сервер пытаться подключиться к другому компьютеру полностью. Это просто, но смертельно опасно для любого хоста, который уважает TCP.
Slowloris
Один из вариантов этого метода атаки, появившийся в заголовках газет несколько лет назад, назывался Slowloris. Сайт Slowloris описывает себя как «низкополосный, но жадный и ядовитый HTTP-клиент!» Сайт, безусловно, доставляет беспокойство при чтении и описывает, как одна машина может «отключить веб-сервер другой машины с минимальной пропускной способностью и побочными эффектами на несвязанные сервисы и порты».
Далее объясняется, что такая атака на самом деле не является атакой отказа в обслуживании по протоколу TCP. По-видимому, это связано с тем, что создано полное TCP-соединение, но, что немаловажно, только частичный HTTP-запрос делается для загрузки веб-страницы с сервера. Одним из побочных эффектов является то, что веб-сервер может очень быстро вернуться в нормальное рабочее состояние по сравнению с другими атаками.
В том же зловещем ключе, что и при разработке атак, эта функция может позволить злоумышленнику за короткое время развернуть другую кратковременную атаку, когда сервер борется с потоком SYN, а затем возвращает сервер в прежнее состояние без быть замеченным
Тактика ответных действий против атак SYN Flood
После того как некоторые высококлассные сайты стали объектами таргетинга, стало ясно, что техника смягчения была необходима и незамедлительно. Проблема в том, что сделать сервер полностью непроницаемым для таких атак сложно. Рассмотрим, например, что даже то, что называется разрывом соединений, потребляет ресурсы сервера и может вызвать другие головные боли.
Разработчики Linux и FreeBSD ответили добавлением ядра под названием SYN cookies, которое долгое время было частью стандартного ядра. (Хотя, что удивительно, не все ядра включают их по умолчанию.) Файлы cookie SYN работают с так называемыми порядковыми номерами TCP. У них есть способ использовать предпочтительные порядковые номера при первоначальном установлении соединения, а также смягчать наводнения, отбрасывая пакеты SYN, находящиеся в их очереди. Это означает, что они могут обрабатывать гораздо больше соединений, если они должны. В результате очередь никогда не должна быть перегружена - по крайней мере, в теории.
Некоторые противники открыто высказываются против файлов cookie SYN из-за изменений, которые они вносят в соединения TCP. В результате были введены транзакции файлов cookie TCP (TCPCT), чтобы преодолеть любой из недостатков файлов cookie SYN.
Сохраняйте бдительность, защищайте от атак
С постоянно растущим числом векторов атак, которые обнаруживаются и затем используются в Интернете, важно всегда быть бдительным. Определенные типы атак вынуждают как тех, кто имеет добрые намерения, так и тех, кто имеет злые намерения, исследовать новые методы защиты и атаковать системы. Одно можно сказать наверняка: уроки, извлеченные из простых, но изощренных атак, таких как потоки SYN, еще больше помогают исследователям безопасности понять, как протоколы и программное обеспечение межсетевого экрана должны развиваться в будущем. Мы можем только надеяться, что это принесет пользу Интернету в целом.