SYN flood
A SYN flood, azaz SYN elárasztás egy az interneten végrehajtott, szolgáltatás-megtagadással járó támadás.[1]
Az IP hálózatok – így az internet is legnépszerűbb szolgáltatásai (SMTP, HTTP, FTP) TCP kapcsolatot alkalmaznak. A TCP kapcsolat felépítését egy úgynevezett „háromutas” kézfogás előzi meg:
- A kliens SYN (szinkronizáló) csomagot küld.
- A szerver SYN-ACK csomaggal nyugtáz.
- A kliens ACK csomaggal nyugtáz. A kapcsolat ettől a ponttól működőképes.
Két fő módszer van a SYN elárasztásos támadásra, mindkettő azon alapul, hogy a szerver sohasem kapja meg az ACK csomagot. Az egyikben a támadó egyszerűen nem küldi el az utolsó ACK üzenetet, a másikban meghamisítja a SYN csomag forrás IP-címét, így a szerver a SYN-ACK nyugtát a hamis IP-címre küldi el.[2]
A támadás menete
[szerkesztés]- A támadó SYN csomagot küld, hamisított feladó címmel.
- A célpont tárolja a leendő kapcsolat adatait, majd SYN-ACK nyugtázó csomagot küld a feladónak (a nagy valószínűséggel hamisított címre).
- A célpont nem kap választ, ezért néhányszor (általában még háromszor) újraküldi az üzenetet.
- A célpont felszabadítja a kapcsolat tárolására szolgáló memóriát.
A támadó nagy mennyiségű SYN csomaggal árasztja el a célpontot, amelynek a kapcsolatok állapotát tároló memóriája megtelik, így nem lesz képes új TCP kapcsolatot létrehozni.
A védekezés módszerei
[szerkesztés]- A „félkész” kapcsolatok tárolására szolgáló memória megnövelése.
- Az adott forrásból érkező kapcsolatok számának limitálása (adott időintervallumon belül)
- SYN cookies
A modern TCP/IP stackek már megfelelően kezelik a félig nyitott kapcsolatokkal kapcsolatos helyzeteket, ezért náluk a SYN flood nem jelent speciális esetet az átviteli csatorna teljes kapacitásának kihasználására épülő támadásokhoz képest.
Források
[szerkesztés]- ↑ CA-1996-21: TCP SYN Flooding and IP Spoofing Attacks. (Hozzáférés: 2022. március 6.)
- ↑ Cloudflare.com – SYN flood attack. (Hozzáférés: 2022. március 6.)