SYN árvíz támadások: egyszerű, mégis jelentősen romboló

Szerző: Judy Howell
A Teremtés Dátuma: 26 Július 2021
Frissítés Dátuma: 21 Június 2024
Anonim
SYN árvíz támadások: egyszerű, mégis jelentősen romboló - Technológia
SYN árvíz támadások: egyszerű, mégis jelentősen romboló - Technológia

Tartalom


Forrás: Aleutie / Dreamstime.com

Elvitel:

A megdöbbentő 65.535 TCP-port egyetlen IP-címen elérhetővé vált, így könnyen belátható, hogy miért van olyan sok biztonsági kihasználás az interneten. De bár a SYN támadások alig vannak új, mégis nehéz kezelni őket.

Az elfogadható kockázat szintje akkor nyilvánvaló, ha bármely vállalkozás weboldalt indít, és az internetet felteszi, kinyitva az ajtókat minden látogató számára. Amit néhány vállalkozás nem veszi észre, az az, hogy egyes kockázatok felülmúlhatatlanok, még a hatalmas vállalatok és kormányzati ügynökségek számára is. A 90-es évek közepén és végén a támadások egyik típusát a pusztító mellékhatásoknak csak kivitelezhetetlennek tekintették - és ez a mai napig továbbra is problémát jelent.


SYN árvíz támadásként ismert. A megdöbbentő 65.535 TCP-port egyetlen IP-címen elérhetővé válik, amelyek mindegyike bármilyen szoftvert meghallgathat a portok mögött sérülékenynek, könnyen belátható, hogy miért van olyan sok biztonsági kihasználás az interneten. A SYN-áradások arra támaszkodnak, hogy a webszerverek válaszolnak a látszólag legitim weboldal-kérelmekre, függetlenül attól, hogy hány kérést tettek. Ha azonban a támadó sok kérést tesz, amelyek a webszervert lekötve hagyják, és nem tudják folytatni az igazán legitim kérések kiszolgálását, katasztrófa sújt, és a webszerver meghibásodik. Alapvető szinten a SYN-áradások így működnek. Itt vessünk egy pillantást a SYN támadások leggyakoribb típusaira, valamint arra, hogy a hálózat- és rendszergazdák mit tehetnek az enyhítésük érdekében.


A TCP protokoll alapjai: Hogyan működik a SYN-árvíz

Az nyilvánvaló enyhítő technikák nyilvánvaló hiányának köszönhetően a SYN-támadásokat az online vállalkozások jogosan féltek, amikor először vadon azonosították őket.

A SYN-áradások leginkább frusztráltak a rendszerek és a hálózati adminisztrátorok számára, mivel határozottan elutasítottuk a támadások sokféleségét a szolgáltatásmegtagadástól, hogy legalább a támadások forgalma legitim forgalomnak bizonyult.

Annak érdekében, hogy értékeljük a támadás ízének egyszerűségét - egyesek mondhatják szépségüket -, egy kicsit közelebbről kell megnéznünk az internetes forgalom jelentős részéért felelős protokollt, a Transmission Control Protocol (TCP) protokollt.

Egy ilyen támadás célja az elérhető webkiszolgálók összes erőforrásának felszívása azáltal, hogy meggyőzi a kiszolgálót a kiszolgáló adatainak legitim látogatók számára történő meggyőzéséről. Ennek eredményeként a szervereket a jogos felhasználók nem tagadják meg.

A webhelyek és a tweetek megtekintésére használt TCP kapcsolatok, több millió más online funkció között, a háromutas kézfogásnak nevezett eseményekkel kezdenek meg. A kézfogás előfeltétele egyszerű, és miután mindkét oldal csatlakozik, ez a kifinomult protokoll olyan funkciókat tesz lehetővé, mint például a sebesség korlátozása, hogy a szerver mennyi adatot fog szolgáltatni a címzettnek, annak alapján, hogy mekkora sávszélességgel rendelkezik a címzett.

A látogatótól vagy az ügyféltől küldött SYN-csomaggal (amely szinkronizálásra vonatkozik) a kiszolgáló hatékonyan reagál egy SYN-ACK-csomaggal (vagy szinkronizálás-nyugtázással), amelyet ezt követően a látogató megerősít, amely egy ACK-csomagot tartalmaz. saját válaszul. Ezen a ponton létrejött a kapcsolat, és a forgalom szabadon áramolhat.

Nincsenek hibák, nincs stressz - Az Ön életét megváltoztató szoftverek készítésének lépésről lépésre történő leírása az élet megsemmisítése nélkül

Nem javíthatja a programozási képességeit, ha senki sem törődik a szoftver minőségével.

A SYN árvíz támadás megkerüli ezt a sima cserét, ha nem adja el az ACK-t a szervernek, miután az eredeti SYN-ACK el lett küldve. Vagy a csomag teljesen ki van hagyva, vagy a válasz félrevezető információkat tartalmazhat, például hamis IP-címet, és ez arra készteti a kiszolgálót, hogy próbálja meg, majd teljes mértékben csatlakozzon egy másik géphez. Ez egyszerű, de halálos minden olyan gazdagép számára, amely tiszteletben tartja a TCP-t.

Slowloris

A támadási módszer egyik változatát, amely néhány évvel ezelőtt elkészítette a címsort, Slowloris-nak hívták. A Slowloris oldal "alacsony sávszélességű, mégis mohó és mérgező HTTP klienst" ír le magára. A webhely minden bizonnyal aggasztó olvasást tesz lehetővé, és leírja, hogyan lehet egy számítógép "leállítani egy másik gép webszerverét minimális sávszélességgel és mellékhatásokkal a nem kapcsolódó szolgáltatásokra és portokra".

Azt magyarázza továbbá, hogy egy ilyen támadás valójában nem egy TCP szolgáltatásmegtagadási támadás. Ez nyilvánvalóan azért van, mert teljes TCP-kapcsolat jön létre, de nagyon fontos, hogy csak egy részleges HTTP-kérést tegyünk egy weboldal lehívására a szerverről. Az egyik mellékhatás az, hogy a webszerver nagyon gyorsan visszatér normál működési állapotába, összehasonlítva más támadásokkal.

A támadások tervezésének ugyanazon baljóslatú formája mentén ez a szolgáltatás megengedheti a támadónak, hogy rövid idő alatt más rövid ideig tartó támadást telepítsen, amikor a szerver SYN-áramerősséggel küzd, majd visszatér a szerverhez, mint korábban, anélkül, hogy észrevenni.

Reagálási taktika a SYN árvíz támadások ellen

Néhány magas rangú webhely célzásával világossá vált, hogy azonnal szükség van egy enyhítési technikára. A probléma az, hogy a szervert az ilyen támadásokhoz teljesen áthatolhatatlanná kell tenni. Fontolja meg például, hogy még a kapcsolatok elbontása néven is szerver erőforrásokat fogyaszt, és más fejfájást okozhat.

A Linux és a FreeBSD fejlesztői SYN cookie-knak nevezett kernel-kiegészítéssel válaszoltak, amely már hosszú ideje része az állomány kernelének. (Bár meglepő módon nem minden kernel alapértelmezés szerint engedélyezi őket.) A SYN sütik a TCP sorszámmal működnek. Használhatják az előnyben részesített sorszámokat, amikor a kapcsolat eredetileg létrejön, és enyhítik az áradásokat is, mivel a sorban ülő SYN csomagokat dobják el. Ez azt jelenti, hogy még sok más kapcsolatot tudnak kezelni, ha kell. Ennek eredményeként a sor soha nem szabad túlterhelni - legalábbis elméletileg.

Egyes ellenfelek nyíltan beszélnek a SYN sütik ellen a TCP kapcsolatokban végrehajtott változtatások miatt. Ennek eredményeként bevezették a TCP cookie tranzakciókat (TCPCT) a SYN cookie-k bármely hiányosságának kiküszöbölésére.

Legyen éber, védje a támadásokat

Az egyre növekvő számú támadási vektor felfedezésével és felhasználásával az interneten, fontos, hogy állandóan éber maradjon. Bizonyos típusú támadások mind a jó szándékú, mind a rosszindulatú szándékú személyeket arra kényszerítik, hogy új módszereket keressenek a rendszerek védelmére és megtámadására. Egy biztos az, hogy az egyszerű, de kifinomult támadásokból, például a SYN-áradásokból levont tanulságok a biztonsági kutatókat még jobban hozzáigazítják a protokollok és a tűzfalszoftverek fejlődéséhez a jövőben. Csak remélhetjük, hogy az egész Internet számára hasznos.