http://kiev-security.org.ua

4. SYN flooding

    Затопление SYN-пакетами - самый известный способ "забить" ин-
формационный канал. Вспомним, как работает TCP/IP в случае входя-
щих  соединений.  Система  отвечает  на   пришедший   C-SYN-пакет
S-SYN/CACK-пакетом,  переводит  сессию в состояние SYN_RECEIVED и
заносит ее в очередь. Если в течении заданного времени от клиента
не  придет  S-ACK,  соединение удаляется из очереди,  в противном
случае соединение переводится в  состояние  ESTABLISHED.  По  RFC
когда очередь входных соединений уже заполнена, а система получа-
ет SYN-пакет, приглашающий к установке соединения, он будет молча
проигнорирован.  Затопление  SYNпакетами основано на переполнении
очереди сервера,  после чего сервер перестает отвечать на запросы
пользователей. В различных системах работа с очередью реализована
по разному. После истечение некоторого времени (зависит от реали-
зации) система удаляет запросы из очереди. Однако ничего не меша-
ет хакеру послать новую порцию запросов.  Таким образом, даже на-
ходясь на соединение 2400 bps, хакер может посылать каждые полто-
ры минуты по 20-30 пакетов на сервер, поддерживая его в нерабочем
состоянии.  Атака  обычно направлена на определённую,  конкретную
службу, например telnet или ftp. Она заключается в передаче паке-
тов  установления  соединения на порт,  соответствующий атакуемой
службе. При получении запроса система выделяет ресурсы для нового
соединения,  после  чего  пытается  ответить  на  запрос (послать
"SYN-ACK") по недоступному адресу. По умолчанию NT версий 3.5-4.0
будет пытаться повторить подтверждение 5 раз - через 3, 6, 12, 24
и 48 секунд.  После этого еще 96 секунд система может ожидать от-
вет, и только после этого освободит ресурсы, выделенные для буду-
щего соединения. Общее время занятости ресурсов - 189 секунд.

Содержание

HOME