Protipovodňové útoky SYN: Jednoduché, ale výrazne deštruktívne

Autor: Judy Howell
Dátum Stvorenia: 26 V Júli 2021
Dátum Aktualizácie: 21 V Júni 2024
Anonim
Protipovodňové útoky SYN: Jednoduché, ale výrazne deštruktívne - Technológie
Protipovodňové útoky SYN: Jednoduché, ale výrazne deštruktívne - Technológie

Obsah


Zdroj: Aleutie / Dreamstime.com

Zobrať:

Vďaka neuveriteľným 65 535 portom TCP, ktoré sú k dispozícii na jednej adrese IP, je ľahké zistiť, prečo je na internete toľko zneužitia zabezpečenia. Ale zatiaľ čo útoky SYN sú sotva nové, stále je ťažké ich riešiť.

Úroveň prijateľného rizika je zrejmá, keď niektorá spoločnosť spúšťa webovú stránku a umiestňuje ju na internet, čím otvára svoje dvere všetkým návštevníkom. Niektoré podniky si možno neuvedomujú, že niektoré riziká sú neprekonateľné, a to aj pre masívne spoločnosti a vládne agentúry. V polovici 90. rokov bol jeden druh útokov považovaný za ničivé vedľajšie účinky, ale nerozpustný - a to je stále problém dodnes.

Je známy ako povodňový útok SYN. Keďže sa na jedinej IP adrese sprístupní ohromujúcich 65 535 portov TCP, z ktorých všetky by mohli nechať akýkoľvek softvér počúvajúci tieto porty zraniteľné, ľahko sa dá zistiť, prečo je na internete toľko zneužitia zabezpečenia. Záplavy SYN sa spoliehajú na skutočnosť, že webové servery reagujú na zjavne legitímne žiadosti o webové stránky bez ohľadu na to, koľko žiadostí sa požaduje. Ak by však útočník vzniesol veľa žiadostí, ktoré potom ponechajú webový server zviazaný a neschopný pokračovať v poskytovaní skutočne legitímnych žiadostí, katastrofa zasiahne a webový server zlyhá. Na základnej úrovni takto fungujú povodne SYN. Tu sa pozrite na niektoré z najbežnejších typov útokov SYN a na to, čo môžu správcovia sietí a systémov urobiť, aby ich zmiernili.


Základy protokolu TCP: Ako funguje povodeň SYN

Vďaka zjavnému nedostatku akýchkoľvek zrejmých zmierňovacích techník sa online podniky, keď sa prvýkrát identifikovali vo voľnej prírode, celkom správne obávali útokov SYN.

Pevne pristátie pod zámienkou rôznych útokov, čo spôsobilo, že povodne SYN boli najviac frustrujúce pre správcov systémov a sietí, bolo to, že prinajmenšom sa útok útokov prezentoval ako legitímny prenos.

Aby sme ocenili jednoduchosť tejto príchute - možno niektorí povedali krásu -, musíme sa krátko pozrieť na protokol, ktorý je zodpovedný za podstatnú časť interetového prenosu, TCP (Transmission Control Protocol).

Cieľom takéhoto útoku je pohotovo nasiaknuť všetky dostupné zdroje webových serverov presvedčením servera o jeho poskytujúcich údajoch legitímnym návštevníkom. Výsledkom je, že legitímnym používateľom serverov bola služba odmietnutá.


TCP spojenia, ktoré sa používajú na prezeranie webových stránok a tweety, medzi miliónmi ďalších online funkcií, sa iniciujú tzv. Trojsmerným podaním. Predpoklad pre handshake je jednoduchý a po spojení oboch strán umožňuje tento sofistikovaný protokol funkčnosť, ako napríklad obmedzenie rýchlosti, koľko dát bude server príjemcovi na základe toho, akú veľkú šírku pásma má príjemca k dispozícii.

Počnúc paketom SYN (čo znamená synchronizáciu) odoslaným od návštevníka alebo klienta, potom server efektívne odpovie paketom SYN-ACK (alebo synchronizáciou-potvrdením), ktorý potom potvrdí návštevník, ktorým je paket ACK jeho vlastné v reakcii. V tomto okamihu bolo nadviazané spojenie a doprava môže voľne prúdiť.

Žiadne chyby, žiadny stres - Váš sprievodca krok za krokom k vytvoreniu softvéru na zmenu života bez zničenia vášho života

Svoje programovacie schopnosti si nemôžete vylepšiť, keď sa nikto nestará o kvalitu softvéru.

Povodňový útok SYN obchádza túto hladkú výmenu tým, že neprenáša ACK na server po odoslaní jeho počiatočnej SYN-ACK. Buď je tento paket úplne vynechaný alebo odpoveď môže obsahovať zavádzajúce informácie, ako je adresa IP sfalšovaná, čo núti server vyskúšať a potom sa úplne pripojiť k inému počítaču. Je to jednoduché, ale smrtiace pre každého hostiteľa, ktorý rešpektuje TCP.

Pomalá Loris

Jeden z variantov tohto spôsobu útoku, ktorý titulky pred niekoľkými rokmi priniesol, sa nazýval Slowloris. Stránka Slowloris sa popisuje ako „malá šírka pásma, ale chamtivý a jedovatý klient HTTP!“ Stránka určite prispieva k obavám z čítania a popisuje, ako môže jeden stroj „zobrať webový server iných počítačov s minimálnou šírkou pásma a vedľajšími účinkami na nesúvisiace služby a porty“.

Ďalej vysvetľuje, že taký útok nie je vlastne útokom odmietnutia TCP. Je to zrejme spôsobené tým, že je vytvorené úplné pripojenie TCP, ale čo je dôležitejšie, je potrebné vykonať iba čiastočnú požiadavku HTTP na stiahnutie webovej stránky zo servera. Jedným vedľajším účinkom je, že webový server sa môže veľmi rýchlo vrátiť do normálneho prevádzkového stavu v porovnaní s inými útokmi.

Spolu s rovnakou zlovestnou žilou útokov môže táto funkcia umožniť útočníkovi nasadiť nejaký iný krátkodobý útok v krátkom čase, keď server zápasí so záplavou SYN a potom vráti server tak, ako bol predtým, bez si všimol.

Taktika reakcie proti povodňovým útokom SYN

Keď sa zameriavajú na niektoré vysoko postavené stránky, ukázalo sa, že je potrebná a rýchlo potrebná technika zmierňovania. Problém je v tom, že urobiť server úplne nepreniknuteľným pre takéto útoky je ťažké. Zoberme si napríklad, že aj to, čo je známe ako prerušovanie spojení, spotrebováva prostriedky servera a môže spôsobiť ďalšie bolesti hlavy.

Vývojári systémov Linux a FreeBSD odpovedali pridaním jadra s názvom cookies SYN, ktoré je súčasťou zásobného jadra už dlhú dobu. (Aj keď prekvapujúco nie všetky jadrá ich v predvolenom nastavení umožňujú.) Súbory cookie SYN pracujú s tzv. Poradovými číslami TCP. Majú spôsob, ako používať preferované poradové čísla, keď je spojenie pôvodne nadviazané, a tiež zmierniť záplavy tým, že upustia SYN pakety, ktoré sa nachádzajú vo fronte. To znamená, že v prípade potreby dokážu zvládnuť oveľa viac spojení. V dôsledku toho by sa rad nikdy nemal premôcť - aspoň teoreticky.

Niektorí oponenti hovoria otvorene proti súborom SYN kvôli zmenám, ktoré vykonávajú v pripojeniach TCP. V dôsledku toho boli zavedené transakcie TCP cookie (TCPCT) na prekonanie nedostatkov súborov cookie SYN.

Zostaňte ostražití, Chráňte pred útokmi

Vzhľadom na to, že na internete sa objavuje a potom využíva neustále rastúci počet útočných vektorov, je dôležité vždy ostražito. Niektoré typy útokov nútia tak tých, ktorí majú dobré úmysly, ako aj tých, ktorí majú zlý úmysel, aby preskúmali nové metódy ochrany a útoku systémov. Jedna vec je istá, že ponaučenia získané z jednoduchých, ale sofistikovaných útokov, ako sú povodne SYN, udržujú výskumných pracovníkov v oblasti bezpečnosti ešte viac naladení na to, ako by sa protokoly a protipožiarny softvér mali vyvíjať v budúcnosti. Môžeme len dúfať, že to bude prínosom pre internet ako taký.