Obsah
- Základy protokolu TCP: Jak funguje povodeň SYN
- Žádné chyby, žádný stres - Váš průvodce krok za krokem k vytváření softwaru pro změnu života, aniž by došlo ke zničení vašeho života
- Slowloris
- Taktiky odezvy proti útokům SYN proti povodním
- Zůstaňte ostražití, chraňte před útoky
Zdroj: Aleutie / Dreamstime.com
Odnést:
Díky ohromujícímu 65 535 portů TCP, které jsou k dispozici na jedné adrese IP, je snadné pochopit, proč je na internetu tolik bezpečnostních vykořisťování. Ale zatímco útoky SYN jsou stěží nové, stále je těžké je řešit.
Úroveň přijatelného rizika je zřejmá, když některá firma spustí web a umístí jej na internet, čímž otevře dveře všem návštěvníkům. Některé podniky si možná neuvědomují, že některá rizika jsou nepřekonatelná, a to i pro masivní společnosti a vládní agentury. Během poloviny 90. let byl jeden typ útoků považován za destruktivní vedlejší účinky, ale nerozpustný - a to je dodnes problém.
Je znám jako SYN povodňový útok. Vzhledem k tomu, že na jediné IP adrese je k dispozici ohromujících 65 535 portů TCP, z nichž všechny by mohly zanechat jakýkoli software poslouchající za těmito porty zranitelné, je snadné pochopit, proč je na internetu tolik bezpečnostních vykořisťování. Záplavy SYN se spoléhají na skutečnost, že webové servery budou reagovat na zjevně legitimní požadavky na webové stránky, bez ohledu na to, kolik žádostí je podáno. Pokud by však útočník vznesl mnoho požadavků, které webový server ponechají svázané a neschopné pokračovat v poskytování skutečně legitimních požadavků, dojde ke katastrofě a webový server selže. Na základní úrovni takto fungují povodně SYN. Zde se podívejme na některé z nejčastějších typů útoků SYN a na to, co mohou správci sítí a systémů udělat, aby je zmírnili.
Základy protokolu TCP: Jak funguje povodeň SYN
Díky zřejmému nedostatku zjevné techniky zmírňování se útoky SYN online obchodníky zcela správně obávaly, když byly poprvé identifikovány v přírodě.
Pevně přistávající v rámci odmítnutí různých útoků na služby způsobilo, že povodně SYN byly nejvíce frustrující pro správce systémů a sítí, že přinejmenším zdánlivě se útok útoku prezentoval jako legitimní provoz.
Abychom ocenili jednoduchost této příchutě útoku - někteří by mohli říci krásu -, musíme se krátce podívat blíže k protokolu odpovědnému za podstatnou část interetového provozu, protokolu Transmission Control Protocol (TCP).
Cílem takového útoku je pohotově nasáknout všechny dostupné zdroje webových serverů přesvědčením serveru o jeho obslužných datech legitimním návštěvníkům. V důsledku toho je služba oprávněným uživatelům serverů odepřena.
TCP spojení, která se používají k prohlížení webových stránek a tweetů, mezi miliony dalších online funkcí, jsou iniciována tzv. Třícestným handshake. Předpoklad pro handshake je jednoduchý a jakmile jsou obě strany propojeny, tento sofistikovaný protokol umožňuje funkčnost, jako je omezení rychlosti, kolik dat server bude příjemci na základě toho, kolik šířky pásma má příjemce k dispozici.
Počínaje paketem SYN (což znamená synchronizovat) odeslaným návštěvníkem nebo klientem, server poté efektivně reaguje paketem SYN-ACK (nebo synchronizací-potvrzení), který je pak potvrzen návštěvníkem, kterým je paket ACK jeho vlastní v reakci. V tomto okamžiku bylo navázáno spojení a provoz může volně proudit.
Žádné chyby, žádný stres - Váš průvodce krok za krokem k vytváření softwaru pro změnu života, aniž by došlo ke zničení vašeho života
Nemůžete zlepšit své programovací schopnosti, když se nikdo nestará o kvalitu softwaru.
Povodňový útok SYN obchází tuto hladkou výměnu tím, že nepřevádí ACK na server po odeslání jeho počáteční SYN-ACK. Buď je tento paket úplně vynechán, nebo může odpověď obsahovat zavádějící informace, jako je IP adresa s podvrhem, což nutí server, aby se pokusil a poté se úplně připojil k jinému počítači. Pro každého hostitele, který respektuje TCP, je to jednoduché, ale smrtelné.
Slowloris
Jedna varianta této metody útoku, která titulky před několika lety vrátila, se jmenovala Slowloris. Web Slowloris se popisuje jako „malá šířka pásma, přesto chamtivý a jedovatý klient HTTP!“ Tato stránka určitě přispívá k obavám ze čtení a popisuje, jak může jeden stroj „sundat webový server jiných strojů s minimální šířkou pásma a vedlejšími účinky na nesouvisející služby a porty“.
Dále vysvětluje, že takový útok ve skutečnosti není útokem služby TCP odmítnutí služby. Důvodem je zřejmě to, že je vytvořeno úplné připojení TCP, ale co je důležitější, pouze částečný požadavek HTTP je vytvořen pro stažení webové stránky ze serveru. Jedním vedlejším účinkem je, že se webový server může ve srovnání s jinými útoky vrátit velmi rychle do normálního provozního stavu.
Ve stejné zlověstné žíle návrhu útoků by tato funkce mohla útočníkovi umožnit nasazení jiného krátkodobého útoku v krátkém časovém období, protože server zápasí se záplavou SYN a poté vrátí server tak, jak byl předtím, bez být si všiml.
Taktiky odezvy proti útokům SYN proti povodním
Vzhledem k tomu, že jsou cíleny některé vysoce postavené weby, bylo jasné, že je potřeba a rychle zmírňující technika. Problém je v tom, že učinit server zcela neproniknutelným pro takové útoky je obtížné. Uvažujme například, že i to, co se nazývá roztržení připojení, spotřebovává prostředky serveru a může způsobit další bolesti hlavy.
Vývojáři systémů Linux a FreeBSD odpověděli přidáním jádra nazvaného SYN cookies, které je součástí skladového jádra po dlouhou dobu. (Přestože je to překvapivě, ne všechna jádra jsou ve výchozím nastavení povolena.) Soubory cookie SYN pracují s tzv. Pořadovými čísly TCP. Mají způsob, jak používat preferovaná pořadová čísla, když je spojení navázáno, a také zmírnit povodně tím, že upustí SYN pakety, které sedí v jejich frontě. To znamená, že mohou zvládnout mnohem více spojení, pokud musí. V důsledku toho by fronta nikdy neměla být ohromena - alespoň teoreticky.
Někteří oponenti mluví otevřeně proti souborům SYN kvůli změnám provedeným v připojení TCP. V důsledku toho byly zavedeny transakce TCP cookie (TCPCT) k překonání nedostatků souborů cookie SYN.
Zůstaňte ostražití, chraňte před útoky
Se stále rostoucím počtem útočných vektorů, které byly objeveny a poté využívány na internetu, je důležité zůstat ostražitý vždy. Některé typy útoků nutí ty, kteří mají dobré úmysly, i ty, kteří mají zlý úmysl, prozkoumat nové metody ochrany a útoku systémů. Jedna věc je jistá, že ponaučení získaná z jednoduchých, ale sofistikovaných útoků, jako jsou povodně SYN, udržují výzkumníky v oblasti bezpečnosti ještě více naladěni, jak by se v budoucnu měly vyvíjet protokoly a firewallingový software. Můžeme jen doufat, že to bude přínosem pro internet jako celek.