SYN flood
SYN flood – jeden z popularnych ataków w sieciach komputerowych. Jego celem jest głównie zablokowanie usług danego serwera (DoS). Do przeprowadzenia ataku wykorzystywany jest protokół TCP[1].
Sposób ataku
[edytuj | edytuj kod]Atak polega na wysyłaniu dużej ilości pakietów z ustawioną w nagłówku flagą synchronizacji (SYN) i najczęściej ze sfałszowanym adresem IP nadawcy (IP spoofing). Pakiety TCP z ustawioną flagą SYN służą do informowania zdalnego komputera o chęci nawiązania z nim połączenia. Podczas takiego ataku serwer, który otrzymał pakiet z flagą SYN na port, który jest otwarty, odpowiada na każdy pakiet zgodnie z zasadami protokołu TCP wysyłając pakiet z ustawionymi flagami synchronizacji (SYN) i potwierdzenia (ACK) do komputera, który w tym wypadku nie istnieje, istnieje, ale nie zamierzał nawiązywać połączenia z atakowanym hostem lub jest to komputer atakującego, który specjalnie nie odpowiada. Powoduje to przesyłanie dużych ilość danych i obciąża łącze sieciowe.
Oprócz odpowiedzi na pakiety SYN atakowany komputer zapisuje w tablicy stanów połączeń informację, że nastąpiła próba połączenia i wysłano potwierdzenie (pakiet z flagami SYN i ACK). Tablice te są przechowywane w pamięci RAM, a ich wielkość jest ograniczona. Jeżeli taki atak będzie powtarzany a liczba takich pakietów będzie bardzo duża, w pewnym momencie nastąpi przepełnienie tablicy połączeń atakowanej maszyny co spowoduje, że ów komputer nie będzie akceptował następnych przychodzących połączeń. Serwer wówczas będzie cały czas w stanie oczekiwania na pakiety ACK, które nigdy nie nadejdą.
Ciągły atak SYN flooding powoduje zaprzestanie odpowiadania na nowe zapytania. Jak również spowalnia obsługiwanie otwartych połączeń poprzez znaczny wzrost zapotrzebowania na zasoby komputera (przede wszystkim pamięć). W skrajnym przypadku może spowodować zawieszenie systemu[2].
Przeciwdziałanie
[edytuj | edytuj kod]Jednym ze sposobów na zapobieganie temu zjawisku jest wdrożenie do systemu firewalli, które limitują ilość pakietów SYN przesyłanych do danego serwera lub implementują mechanizm SYN cookies[3].
Przypisy
[edytuj | edytuj kod]- ↑ http://edu.pjwstk.edu.pl/wyklady/bsi/scb/main40.html
- ↑ SYN Flood DDoS Attack | Cloudflare, „Cloudflare” [dostęp 2018-06-10] (ang.).
- ↑ Ochrona przed atakami DOS i DDOS - SYN - Administracja i zarządzanie serwerami Linux - obsługa serwerów NetFS, „Administracja i zarządzanie serwerami Linux - obsługa serwerów NetFS”, 3 października 2015 [dostęp 2018-06-10] (pol.).