Inundarea cu pachete SYN este cel mai cunoscut mod de a "ciocni" un canal de informații. Ca urmare a acestui atac, victima încetează să răspundă la încercările de a stabili o conexiune, i. E.
pur și simplu elimină toate pachetele primite. Acest tip de atac DOS este foarte eficient, aproape toate celebrele portaluri la un moment dat a suferit de atacuri similare. Și, probabil, încă vor avea de suferit, deoarece modul de a proteja împotriva SYN-flood`a 100% este imposibilă, iar atacul în sine este complicată doar de faptul că nu este suficient de unul, sau, să zicem, cinci mașini. Cu alte cuvinte, acțiunile echipei sunt necesare, iar echipa va fi cea mai puternică victimă.
Amintiți-vă ce se întâmplă când se stabilește o conexiune TCP:
1. Am trimis un pachet cu un flag SYN la sistemul de la distanță, ceea ce indică faptul că dorim să stabilim o conexiune:
Client - SYN (856779) - gazdă
2. Sistemul la distanță ne răspunde cu un pachet SYN / ACK ("pachetul dvs. cu SYN (856779) este recepționat, gata să stabilească o conexiune, SYN = 758684758"):
Gazdă - SYN (758684758) și ACK (856780) - client
3. Răspundem la acest pachet, iar conexiunea se consideră a fi stabilită:
Client - SYN (856780) și ACK (758684759) - gazdă
Dar ce se va întâmpla dacă se elimină pasul # 3?
Acum, imaginați-vă ce se întâmplă încercare de instalare o altă conexiune - și un nou pachet de pas №2 adăugat la coada ... și apoi o altă încercare și un alt pachet ... Este universul, potrivit oamenilor de stiinta, este infinit, și toate are limitele sale cunoscute. Prin urmare, mai devreme sau mai târziu, ar trebui să apară o depășire. După aceea, sistemul de la distanță nu răspunde la orice încercare de a stabili o conexiune, ci pur și simplu - „merge în jos adânc.“
Strict vorbind, în diferite sisteme, lucrul cu coada este implementat în moduri diferite. După o anumită perioadă de timp (depinde de implementare), sistemul elimină pachetele din coadă. Cu toate acestea, nimic nu ne împiedică să trimitem o nouă porțiune de solicitări pentru a "ciocni spațiul liber" și, astfel, să continuăm să menținem sistemul la distanță într-o stare nefuncțională.
Detectarea acestui atac nu este dificilă - un număr mare de conexiuni în starea SYN_RECEIVED, ignorarea încercărilor se va conecta la acest port.
O măsură de protecție poate fi software-ul Real Secure de la un ISS bine cunoscut (nu foarte bun, dar foarte ușor de implementat). Construirea unui firewall este un instrument scump, dar foarte eficient. Problema este că nici măcar protecția cea mai scumpă nu oferă o protecție de 100% și, prin urmare, în timp ce TCP este utilizat și
SYN-inundații ...
Distribuiți acest articol cu prietenii dvs.:
Scripturile pentru criptografie sunt ascunse în widgeturile LiveHelpNow și au lovit peste 1500 de site-uri
Extortioner qkG criptează numai documente Word și se distribuie automat folosind macrocomenzi
Firefox va avertiza utilizatorii despre vizitarea site-urilor hacked anterior
"Codul securității informațiilor" va avea loc în Astana pentru prima dată
Noile vulnerabilități din Intel ME sunt periculoase pentru dispozitivele Acer, Dell, Fujitsu, HP, Lenovo, Panasonic și așa mai departe
Articole similare
Trimiteți-le prietenilor: