top of page

Zabezpečenie pred Útokom SYN Flooding

 

 

Podstata útoku:

Podstatou útoku SYN Flooding je to, že útočník generuje veľké množstvo TCP paketov s príznakom SYN obeti, ale už ďalej neodpovedá. Útok SYN Flooding je veľmi známy typ útoku, ale v dnešnej dobe na moderných sieťach je často neúspešný. Útok je úspešný iba vtedy, pokiaľ server vyhradzuje prostriedky pre nové spojenia ihneď po obdržaní paketu TCP s príznakom SYN, ešte pred tým ako obdrží paket TCP s príznakom ACK. 

 

Protokol TCP:

Pre správne pochopenie útoku je potrebné najprv rozumieť ako funguje protokol TCP.

Pokiaľ sa klient pokúša nadviazať spojenie zo serverom pomocou protokolu TCP, klient a server sa za normálnych okolností vymenia tri TCP pakety:

  • Klient odošle na server TCP paket s príznakom SYN (synchronizácia)

  • Server potvrdí žiadosť o synchornizáciu a odošle TCP paket s príznakmi SYN a ACK (potvrdenie)

  • Klient odpovedá paketom TCP s príznakom ACK

Tomuto hovoríme trojcestné nadviazanie spojenia tzv. three-way handshake a jedná sa o základné nadväzovanie spojenia pomocou protokolu TCP.

Zabezpečenie pred útokom:

SYN Flooding patrí medzi najviac rozšírené útoky v TCP/IP prostredí. Je veľmi jednoduchý a môže byť veľmi účinný. No proti tomuto útoku neexistuje 100% obrana. Tento útok sa najviac využíva na znefunkčnenie napr. HTTP servera. Obrana môže spočívať v:

  • zníženie timeout pre polootvorené spojenia, no v prípade, že útočník zvýši intenzitu útokov dosiahne rovnaký výsledok. Pri veľmi krátkom časte timeout, by nemuseli byť nadviazané legitímne spojenia.

  • použitie firewallu. Server sa obráni tak, že každé jedno spojenie prejde cez firewall. Firewall po prijatí SYN paketu otvorí úplné spojenie so serverom, a tým je zabezpečené to, že server nemá polootvorené spojenia.

  • inteligentné filtrovanie paketov. 

  • využitie tzv. SYN cookies. 

 

 

© 2015 Vytvoril Ján Ivák

bottom of page