SYN-tulvahyökkäykset: Yksinkertainen, mutta huomattavasti tuhoisa

Kirjoittaja: Judy Howell
Luomispäivä: 26 Heinäkuu 2021
Päivityspäivä: 21 Kesäkuu 2024
Anonim
SYN-tulvahyökkäykset: Yksinkertainen, mutta huomattavasti tuhoisa - Tekniikka
SYN-tulvahyökkäykset: Yksinkertainen, mutta huomattavasti tuhoisa - Tekniikka

Sisältö


Lähde: Aleutie / Dreamstime.com

Ottaa mukaan:

Koska hämmästyttäviä 65 535 TCP-porttia on saatavana yhdellä IP-osoitteella, on helppo nähdä, miksi Internetissä on niin paljon tietoturvahyötyjä. Mutta vaikka SYN-hyökkäykset ovat tuskin uusia, niihin on edelleen vaikea puuttua.

Hyväksyttävän riskin taso on ilmeinen, kun jokin yritys perustaa verkkosivuston ja sijoittaa sen Internetissä avaamalla ovensa kaikille vierailijoille. Jotkut yritykset eivät ehkä ymmärrä, että jotkut riskit ovat ylitsepääsemättömiä, jopa suurille yrityksille ja valtion virastoille. 90-luvun puolivälissä tai loppupuolella yhden tyyppisiä hyökkäyksiä pidettiin tuhoisina sivuvaikutuksina kaikkiin paitsi liukenemattomina - ja se on edelleen ongelma tänäkin päivänä.

Sen nimi on SYN-tulvahyökkäys. Koska hämmästyttäviä 65 535 TCP-porttia on saatavana yhdellä IP-osoitteella, jotka kaikki voivat jättää minkä tahansa ohjelmiston kuuntelemaan näiden porttien taakse haavoittuvia, on helppo nähdä, miksi Internetissä on niin paljon tietoturvahyötyjä. SYN-tulvat riippuvat siitä, että web-palvelimet vastaavat näennäisesti oikeutettuihin verkkosivupyyntöihin riippumatta siitä, kuinka monta pyyntöä tehdään. Kuitenkin, jos hyökkääjä tekee paljon pyyntöjä, jotka sitten jättävät web-palvelimen sidottuna ja pystymättä jatkamaan todella laillisten pyyntöjen tarjoamista, katastrofi iskee ja Web-palvelin epäonnistuu. Perustasolla SYN-tulvat toimivat näin. Täällä voit myös katsoa joitain yleisimpiä SYN-hyökkäysten tyyppejä ja mitä verkko- ja järjestelmänvalvojat voivat tehdä niiden lieventämiseksi.


TCP-protokollan perusteet: Kuinka SYN-tulva toimii

Koska ilmeisiltä lieventämistekniikoilta puuttuu, verkkoyritykset pelkäsivät SYN-hyökkäyksiä oikeutetusti, kun ne ensimmäisen kerran tunnistettiin luonnossa.

Pysymällä tiukasti palvelunestohyökkäysten alla olevien hyökkäysten alla, SYN-tulvat turhauttivat järjestelmiä ja verkonvalvojia eniten: näennäisesti ainakin hyökkäysliikenne esitti itsensä lailliseksi liikenteeksi.

Arvioidaksemme tämän hyökkäyksen yksinkertaisuuden - jotkut saattavat sanoa kauneutta - meidän on tutkittava vähän tarkemmin protokollaa, joka vastaa merkittävästä määrästä Internet-liikennettä, Transmission Control Protocol (TCP).

Tällaisen hyökkäyksen tarkoituksena on helposti imeä kaikki käytettävissä olevat verkkopalvelinresurssit vakuuttamalla palvelimen palvelevat tiedot laillisille kävijöille. Seurauksena on, että palvelimelta evätään palvelun lailliset käyttäjät.


TCP-yhteydet, joita käytetään verkkosivustojen ja tweetsien tarkastelemiseen miljoonien muiden online-toimintojen joukossa, käynnistetään kolmisuuntaisen kädenpuristuksen avulla. Kädenpuristuksen lähtökohta on yksinkertainen ja kun molemmat osapuolet on kytketty toisiinsa, tämä hienostunut protokolla sallii toiminnallisuuden, kuten nopeuden rajoittamisen, kuinka paljon palvelinta palvelimelle tulee vastaanottajalle sen perusteella, kuinka paljon kaistanleveyttä vastaanottajalla on käytettävissä.

Alkaen vierailijalta tai asiakkaalta lähetetyltä SYN-paketilla (joka tarkoittaa synkronointia) palvelin vastaa sitten tehokkaasti SYN-ACK-paketilla (tai synkronoi-kuittaus), jonka sitten vierailija vahvistaa, joka on ACK-paketti oma vastauksena. Silloin yhteys on muodostettu ja liikenne voi kulkea vapaasti.

Ei vikoja, ei stressiä - vaiheittaiset ohjeet elämää muuttavien ohjelmistojen luomiseen tuhoamatta elämääsi

Et voi parantaa ohjelmointitaitojasi, kun kukaan ei välitä ohjelmiston laadusta.

SYN-tulvahyökkäys kiertää tätä sujuvaa vaihtoa jättämättä ACK: ta palvelimelle sen jälkeen kun alkuperäinen SYN-ACK on lähetetty. Joko kyseinen paketti jätetään kokonaan pois tai vastaus saattaa sisältää harhaanjohtavia tietoja, kuten väärennetty IP-osoite, pakottaen palvelimen yrittämään sitten muodostaa yhteyden toiseen koneeseen kokonaan. Tämä on yksinkertainen, mutta tappava jokaiselle isäntälle, joka kunnioittaa TCP: tä.

Slowloris

Yksi variantti tästä hyökkäysmenetelmästä, joka sai otsikot muutama vuosi sitten, oli nimeltään Slowloris. Slowloris-sivusto kuvaa itseään "matalanaikaiseksi, mutta ahneksi ja myrkylliseksi HTTP-asiakassovellukseksi!" Sivusto tekee varmasti huolestuttavaa lukemista ja kuvaa, kuinka yksi kone voi "poistaa toisen koneen verkkopalvelimen minimaalisella kaistanleveydellä ja sivuvaikutuksilla toisiinsa liittymättömiin palveluihin ja portteihin".

Se selittää edelleen, että tällainen hyökkäys ei oikeastaan ​​ole TCP: n palvelunestohyökkäys. Tämä johtuu ilmeisesti siitä, että luodaan täysi TCP-yhteys, mutta mikä tärkeintä, Web-sivun vetämiseksi alas palvelimelta tehdään vain osittainen HTTP-pyyntö. Yksi sivuvaikutus on, että web-palvelin voi palata normaaliin toimintatilaansa hyvin nopeasti suhteessa muihin hyökkäyksiin.

Tämä ominaisuus saattaa saman hyökkäysmallin saman synkkän mallin avulla antaa hyökkääjälle mahdollisuuden ottaa käyttöön jonkin muun lyhytaikaisen hyökkäyksen lyhyessä ajassa, kun palvelin kamppailee SYN-tulvan kanssa ja palauttaa sitten palvelimen entiseen tapaan, ilman huomataan.

Reaktiotaktiikat SYN-tulvahyökkäyksiä vastaan

Kun joitain korkean profiilin sivustoja kohdennettiin, kävi selväksi, että lieventämistekniikkaa tarvitaan nopeasti. Ongelmana on, että palvelimen tekeminen täysin läpäisemättömäksi tällaisille hyökkäyksille on vaikeaa. Mieti esimerkiksi, että jopa yhteyksien katkaiseminen, joka kuluttaa palvelinresursseja ja voi aiheuttaa muita päänsärkyjä.

Linux- ja FreeBSD-kehittäjät vastasivat ytimen lisäyksellä, jota kutsutaan SYN-evästeiksi, joka on ollut osa osakekannasta jo pitkään. (Vaikka yllättäen kaikki ytimet eivät mahdollista niitä oletuksena.) SYN-evästeet toimivat niin kutsuttujen TCP-sekvenssinumeroiden kanssa. Heillä on tapa käyttää edullisia sekvenssinumeroita, kun yhteys muodostetaan alun perin, ja myös lieventää tulvia pudottamalla jonossaan olevat SYN-paketit. Tämä tarkoittaa, että he voivat käsitellä monia muita yhteyksiä tarvittaessa. Tämän seurauksena jonon ei pitäisi koskaan tulla ylikuormituksi - ainakin teoriassa.

Jotkut vastustajat puhuvat avoimesti SYN-evästeitä vastaan ​​TCP-yhteyksiin tekemiensä muutosten vuoksi. Seurauksena on, että TCP-evästekaupat (TCPCT) on otettu käyttöön SYN-evästeiden puutteiden korjaamiseksi.

Ole valppaana, suojaudu hyökkäyksiltä

Kun Internetissä löydetään ja hyödynnetään jatkuvasti hyökkäysvektoreita, on tärkeää pysyä valppaana koko ajan. Tietyt hyökkäykset pakottavat sekä hyviä aikomuksia tekeviä että haitallisia aikomuksia tutkimaan uusia menetelmiä järjestelmien suojaamiseksi ja hyökkäyksiksi. Yksi varma asia on se, että yksinkertaisista mutta hienostuneista hyökkäyksistä, kuten SYN-tulvista, opitut tietoturvatutkijat pitävät entistä paremmin hallussaan sitä, miten protokollat ​​ja palomuuriohjelmistot tulevat kehittymään. Voimme vain toivoa, että siitä on hyötyä koko internetille.