Dit is hoe de TCP SYN-aanval werkt, leer hoe u deze effectief kunt verminderen
Het is niet nodig om pc's, laptops of krachtige apparatuur te hebben. de TCP SYN-aanval kan zelfs werken op computers die nog steeds compatibel zijn met zeer trage internetverbindingen. Het is een dreiging die zowel de huiselijke sfeer als de professionele sfeer van kleine, middelgrote en zelfs grote bedrijven bedreigt. TCP SYN-aanvallen zijn een van de meest gebruikte DoS-aanvallen om een server te vergrendelen, hoewel er manieren zijn om dit effectief te verminderen.
Van DoS-aanvallen is bekend dat ze verwoestend zijn voor servers, vooral voor servers die webservices leveren. Door ongewenst verkeer te genereren, wordt feitelijk verkeer de mogelijkheid ontzegd om legitieme verzoeken te doen. Daarentegen zijn DDoS-aanvallen degenen die de geschiedenis het meest hebben gemarkeerd gedurende meer dan 20 jaar. Een van de essentiële taken van iedereen die zich bezighoudt met IT-beveiliging en die aanvallen wil voorkomen, is om tot in detail te weten hoe ze werken. De te ontwikkelen en uit te voeren actieplannen zijn dus veel effectiever.
Hoe TCP SYN-aanvallen servers beïnvloeden
Het primaire doelwit voor dit type aanval zijn de hosts die TCP-processen uitvoeren. Zo maakt het gebruik van de kwetsbaarheid van de proces van Drieweg-onderhandeling via TCP . Dit proces is zo ontworpen dat twee computers kunnen onderhandelen over de verbindingsparameters van de TCP-socket, voordat gegevens zoals SSH- en HTTP-verzoeken worden verzonden. Drievoudig TCP-handshakediagram:
- Host A verzendt een pakket van synchronisatie TCP SYN gastheer B.
- Host B ontvangt met succes SYN van host A.
- Host B stuurt een SYN chroniseren ACK kennis Gastheer A.
- Host A ontvangt SYN-ACK van host B.
- Host A stuurt een beschuldigd van ontvangst bij gastheer B.
- Host B ontvangt de ACK van gastheer A.
Gezien het bovenstaande diagram en uitgaande van zowel host A (client) als host B (server), doet de aanvaller zich voor als host A. Dan begint hij een buitensporig aantal verzoeken TCP SYN onder willekeurige IP-adressen naar host B te sturen.
Host B gaat ervan uit dat de ontvangen verzoeken legitiem zijn, dus reageert het met een SYN-ACK. Hij krijgt echter niet de laatste ACK. Als gevolg hiervan wordt het verbindingsverzoek nooit doorgegeven. Gedurende deze tijd moet het SYN-ACK's naar andere verzoeken blijven verzenden, zelfs zonder een antwoord te ontvangen. Als gevolg hiervan is Host B niet langer beschikbaar voor echt legitieme verbindingsverzoeken.
Hier stellen we verschillende manieren voor om dit soort aanvallen te verminderen:
- SYN-cookies: een cryptografisch hashproces wordt uitgevoerd met a eerste volgnummer en de initiële SYN-ACK gegenereerd. Dit nummer is afkomstig van het bron-IP-adres, het bestemmings-IP-adres, poortnummers en een geheim nummer. De NSI is handig wanneer de server de ACK van de client ontvangt, het voert validaties uit door te controleren op incrementele overeenkomsten van dit nummer. Ten slotte wordt het geheugen gehost dat nodig is om de TCP-verbinding tot stand te brengen.
- Verhoogde wachtrij: elk besturingssysteem heeft een BQ-limiet om onvoltooide TCP-verbindingsverzoeken op te kunnen slaan. Zodra deze limiet is bereikt, worden deze verbindingen verbroken. Om de SYN-aanval te verminderen, kan het achterstandsgeheugen worden vergroot om ook legitieme verbindingen mogelijk te maken.
- Beperk de verbindingstijd zonder volledig tot stand te brengen: besturingssystemen maken het mogelijk om de kernel te configureren om de tijd waarin een TCP-verbinding wordt opgenomen te verkorten, na dit type wordt de verbinding permanent gesloten als deze nog niet volledig tot stand is gebracht.
- Firewall-filter: La bronlimiet (brondrempel) kan worden gewijzigd door de firewall zo te configureren dat verbindingen kunnen worden beëindigd net voordat de nieuwe oorspronkelijke limiet is vastgesteld.
Zoals u kunt zien, zijn er, hoewel de TCP SYN-aanval erg populair is, enkele effectieve manieren om het effect van deze techniek te verminderen.
