SYN flom

Den SYN flood er en datamaskin angrep for å oppnå en tjenestenekt . Den gjelder innenfor rammen av TCP- protokollen og består i å sende en rekke SYN- forespørsler til målet.

Prinsipp

Når du starter en TCP-forbindelse mellom en klient og en server , skjer det en utveksling av meldinger. Prinsippet er det for treveis håndtrykk , som i tilfelle en normal forbindelse uten vilje til skade, foregår i tre trinn:

1. klienten ber om en forbindelse ved å sende en SYN-melding (for å synkronisere ) til serveren;
2. serveren godtar ved å sende en SYN-ACK - melding ( synkroniser-bekreftelse ) til klienten;
3. klienten svarer på sin side med en ACK ( bekreftelse ) melding ; forbindelsen blir da etablert.

En ondsinnet klient kan undertrykke det siste trinnet og ikke svare med ACK-meldingen. Serveren venter en stund før den frigjør ressursene som er reservert for klienten, fordi forsinkelsen i ACK-meldingen kan være forårsaket av nettverksforsinkelse. Denne ventetiden fra serveren var omtrent 75 sekunder under de første SYN-flomangrepene .

Etter trinn 2 er forbindelsen semi-åpen og bruker et visst antall ressurser på serversiden (minne, prosessortid osv.). Ved å generere nok ufullstendige tilkoblinger av denne typen er det mulig å overbelaste serverens ressurser og dermed forhindre serveren i å godta nye forespørsler, noe som resulterer i en nektelse av tjenesten. I noen tilfeller kan serveren til og med krasje på grunn av mangel på ressurser.

Historisk

Denne typen angrep ble populær på midten av 1990-tallet sammen med andre angrep som var rettet mot TCP-protokollen. Grupper av hackere formidlet, i to elektroniske magasiner, teknikken samt kildekoden for å gjennomføre den. De6. september 1996, en amerikansk internettleverandør (Panix) ble lammet av en SYN-flom.

Mottiltak

Måtene å avverge disse angrepene på er:

• begrense antall tilkoblinger fra samme kilde eller samme utvalg av IP-adresser  ;
• frigjør semi-åpne forbindelser etter kundevalg og en tilfeldig forsinkelse;
• omorganisering av forvaltningen av ressursene som tildeles klientene ved å unngå å tildele ressurser til forbindelsen er fullstendig etablert;
• bruk av SYN-informasjonskapsler (bekreftelse basert på sekvensnumre generert med en hash-funksjon );
• statistisk trafikkanalyse ( CUSUM- algoritme ).
• Flytmaske-kommandoen

Referanser

1. TCP SYN Flooding and IP Spoofing Attacks
2. http://cr.yp.to/syncookies.html
3. TCP SYN flomangrep og rettsmidler
4. http://www.internetsecuritysystems.com/security_center/advice/Exploits/TCP/SYN_flood/default.htm
5. SYN-informasjonskapsler
6. http://www.cs.wm.edu/~hnw/paper/attack.pdf

Relaterte artikler

• Sårbarhet (IT)
• Pingflom

Ekstern lenke

• (no) Oppdage SYN-flom - Matematisk og algoritmisk analyse av problemet og løsningene