Útok SYN Flooding

 

 

Podstata útoku:

Podstatou útoku SYN Flooding je to, že útočník generuje veľké množstvo TCP paketov s príznakom SYN obeti, ale už ďalej neodpovedá. Útok SYN Flooding je veľmi známy typ útoku, ale v dnešnej dobe na moderných sieťach je často neúspešný. Útok je úspešný iba vtedy, pokiaľ server vyhradzuje prostriedky pre nové spojenia ihneď po obdržaní paketu TCP s príznakom SYN, ešte pred tým ako obdrží paket TCP s príznakom ACK. 

 

Protokol TCP:

Pre správne pochopenie útoku je potrebné najprv rozumieť ako funguje protokol TCP.

Pokiaľ sa klient pokúša nadviazať spojenie zo serverom pomocou protokolu TCP, klient a server sa za normálnych okolností vymenia tri TCP pakety:

• Klient odošle na server TCP paket s príznakom SYN (synchronizácia)

• Server potvrdí žiadosť o synchornizáciu a odošle TCP paket s príznakmi SYN a ACK (potvrdenie)

• Klient odpovedá paketom TCP s príznakom ACK

Tomuto hovoríme trojcestné nadviazanie spojenia tzv. three-way handshake a jedná sa o základné nadväzovanie spojenia pomocou protokolu TCP.

Technika útoku:

Existuje veľa nástrojov na vykonanie útoku SYN Flooding. Na demonštráciu útoku bude simulovaný útok na webový server, ktorý slúži na konfiguráciu smerovača TP Link v grafickom užívateľskom prostredí. Počas útoku bola využívaná nasledovná sieťová topológia:

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 1.  Kontrola webového rozhrania smerovača TP Linka

Pomocou webového rozhrania som skontroloval funkčnosť WEB servera smerovača.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Po zadaní IP adresy do webového prehliadača, sa webová stránka načítala v poriadku a rýchlo.

 

 2.  Spustenie nástroju Metasploit

 

 

 

 

 

 

 

 3.  Načítanie knižnice na prevedenie útoku SYN Flooding

 

 

 

 

 

 

 4.  Zobrazenie konfigurovateľných parametrov útoku

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 4.  Skenovanie zariadení v sieti a konfigurácia útoku

Zariadenie s IP adresou 192.168.1.1 má otvorený port 80 (WEB), takže sa jedná o smerovač TP Link, na ktorý chceme zaútočiť.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 5.  Zahájenie útoku SYN Flooding

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Vysielané pakety útočníka, zachytené pomocou sieťového analyzátora:

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 6.  Pokus o prístup na webové rozhranie smerovača

 

 

 

 

 

Webová stránka je nefunkčná, útok bol úspešný

 7.  Ukončenie útoku a pokus o prístup na webové rozhranie

Webová stránka je po ukončení útoku opäť funkčná.