Securitate tcp

4.6. Inundarea cu pachete SYN

Amintiți-vă cum funcționează TCP / IP în cazul conexiunilor primite. Sistemul răspunde la pachetul C-SYN de intrare din pachetul S-SYN / C-ACK, transferă sesiunea în starea SYN_RECEIVED și o cozi. Dacă S-ACK nu ajunge în intervalul specificat de la client. conexiunea este scoasă din coadă, altfel conexiunea este transferată în starea ESTABLISHED.

Luați în considerare cazul în care coada de conexiuni de intrare este deja plină, iar sistemul primește un pachet SYN care invită conexiunea să fie stabilită. Potrivit RFC, el va fi ignorat în tăcere.

Inundarea cu pachete SYN se bazează pe un flux de coadă de servere, după care serverul nu mai răspunde solicitărilor utilizatorilor. Cel mai cunoscut atac de acest gen este atacul asupra lui Panix, furnizorul din New York. Panix nu a funcționat timp de 2 săptămâni.

În sistemele diferite, lucrul cu coada de așteptare este implementat în moduri diferite. Deci, în sistemele BSD, fiecare port are propria sa coadă cu dimensiunea a 16 elemente. Pe sistemele SunOS. dimpotrivă, nu există o astfel de diviziune și sistemul are pur și simplu o coadă generală mare. În consecință, pentru a bloca, de exemplu, portul WWW pe BSD este de ajuns 16 pachete SYN, iar pentru Solaris 2.5 numărul lor va fi mult mai mare.

După expirarea ceva timp (în funcție de punerea în aplicare), sistemul elimină cererea din coadă. Totuși, nimic nu împiedică cracarea să trimită o nouă porțiune de cereri. Astfel, chiar și atunci când o conexiune 2400 bps, cracare poate trimite la fiecare cincisprezece minute la 20-30 de pachete de FreeBSD -Server, menținându-l în starea de repaus (în mod natural, această eroare a fost corectată în ultimele versiuni FreeBSD)

Detectarea este ușoară - un număr mare de conexiuni în starea SYN_RECEIVED. ignorați încercările de conectare la acest port. Ca protecție, puteți recomanda plăci care implementează coada automată "prune", de exemplu, pe baza algoritmului Early Random Drop. Pentru a afla dacă sistemul dvs. este protejat împotriva inundării SYN, contactați distribuitorul de sistem.

O altă opțiune este configurarea firewall-ului, astfel încât toate conexiunile TCP / IP primite să fie instalate de firewall-ul însuși și numai după aceea sunt mutate în interiorul rețelei de către mașina specificată. Acest lucru vă va permite să limitați sincronizarea și să nu o pierdeți în interiorul rețelei.

Articole similare

• Crearea unui serviciu ascuns în tor ca drumul de mătase sau darknet - securitatea informațiilor și

• 5 Practicieni de securitate care vor ajuta să se protejeze de hackeri

• Cum se configurează serverul dns primar pe centos - securitatea informațiilor și protecția informațiilor

Trimiteți-le prietenilor: