Innehåll
- Grunderna i TCP-protokollet: Hur fungerar en SYN-översvämning
- Inga buggar, ingen stress - din steg-för-steg-guide för att skapa livsförändrad programvara utan att förstöra ditt liv
- Slowloris
- Svarstaktik mot SYN-översvämningsattacker
- Förbli vaksam, skydda mot attacker
Källa: Aleutie / Dreamstime.com
Hämtmat:
Med enastående 65 535 TCP-portar som görs tillgängliga på en enda IP-adress är det lätt att se varför det finns så många säkerhetsutnyttjanden på Internet. Men medan SYN-attacker knappast är nya, är de fortfarande svåra att ta itu med.
En acceptabel nivå är uppenbar när alla företag lanserar en webbplats och sätter den på internet och öppnar sina dörrar för alla besökare. Det som vissa företag kanske inte inser är att vissa risker är oöverstigliga, även för massiva företag och myndigheter. Under mitten till slutet av 90-talet ansågs en typ av attacker destruktiva biverkningar som alla utom olösliga - och det fortsätter att vara ett problem till idag.
Det är känt som en SYN-översvämningsattack. Med enastående 65 535 TCP-portar som görs tillgängliga på en enda IP-adress, som alla kan lämna all programvara som lyssnar bakom dessa portar är sårbara, det är lätt att se varför det finns så många säkerhetsutnyttjanden på internet. SYN-översvämningar förlitar sig på att webbservrar kommer att svara på uppenbarligen legitima begäranden om webbsidor, oavsett hur många förfrågningar som görs. Men om en angripare gör massor av förfrågningar, som sedan lämnar webbservern bunden och inte kan fortsätta att betjäna verkligen legitima förfrågningar, kommer katastrof att slå och webbservern kommer att misslyckas. På en grundläggande nivå är detta hur SYN-översvämningar fungerar. Ta en titt på några av de vanligaste typerna av SYN-attacker och vad nätverks- och systemadministratörer kan göra för att mildra dem.
Grunderna i TCP-protokollet: Hur fungerar en SYN-översvämning
Tack vare den uppenbara bristen på några uppenbara minskningstekniker fruktades SYN-attacker med rätta av onlineföretag när de först identifierades i naturen.
Att landa fast under förnekandet av tjänstens olika attacker, det som gjorde SYN-översvämningar mest frustrerande för system och nätverksadministratörer var att, till synes åtminstone, attackstrafiken presenterade sig som legitim trafik.
För att uppskatta enkelheten - vissa kan säga skönhet - av denna smak av attack måste vi kort titta lite närmare på det protokoll som ansvarar för en betydande del av internets trafik, Transmission Control Protocol (TCP).
Syftet med en sådan attack är att enkelt lägga ner alla tillgängliga webbserverns resurser genom att övertyga servern om dess serveringsdata till legitima besökare. Som ett resultat nekas tjänsten till de legitima användarnas servrar.
TCP-anslutningar, som används för att visa webbplatser och tweets, bland miljoner andra onlinefunktioner, initieras med vad som kallas en trevägs handskakning. Förutsättningen för handskakningen är enkel och när båda sidor är anslutna möjliggör detta sofistikerade protokoll funktionalitet såsom hastighetsbegränsande hur mycket data en server kommer till en mottagare baserat på hur mycket bandbredd mottagaren har tillgängligt.
Från och med ett SYN-paket (som står för synkronisering) skickat från besökaren eller klienten svarar servern sedan effektivt med ett SYN-ACK-paket (eller synkroniserar-bekräftelse), vilket sedan bekräftas av besökaren, som är ett ACK-paket med sitt eget som svar. Vid den tidpunkten har en anslutning upprättats och trafiken kan flöda fritt.
Inga buggar, ingen stress - din steg-för-steg-guide för att skapa livsförändrad programvara utan att förstöra ditt liv
Du kan inte förbättra dina programmeringsfärdigheter när ingen bryr sig om mjukvarukvalitet.
En SYN-översvämningsattack kringgår detta smidiga utbyte genom att inte sätta in ACK till servern efter att dess första SYN-ACK har skickats. Antingen är detta paket helt utelämnat eller så kan svaret innehålla vilseledande information såsom en förfalskad IP-adress, vilket tvingar servern att försöka ansluta till en annan maskin helt. Detta är enkelt men dödligt för alla värdar som respekterar TCP.
Slowloris
En variant av denna attackmetod, som fick rubrikerna för några år tillbaka, kallades Slowloris. Slowloris-webbplatsen beskriver sig själv som "låg bandbredd, men ändå girig och giftig HTTP-klient!" Webbplatsen skapar verkligen oroande läsning och beskriver hur en enda maskin kan "ta bort en annan maskins webbserver med minimal bandbredd och biverkningar på icke relaterade tjänster och portar."
Det fortsätter att förklara att en sådan attack egentligen inte är ett TCP-förnekande av tjänsteangrepp. Detta beror tydligen på att en fullständig TCP-anslutning skapas men, ganska viktigare, endast en partiell HTTP-begäran görs för att dra ner en webbsida från servern. En biverkning är att webbservern kan återgå till sitt normala driftstillstånd mycket snabbt i förhållande till andra attacker.
Längs samma obehagliga åder av attackens design kan denna funktion tillåta en angripare att distribuera någon annan kortlivad attack på kort tid när servern kämpar med en SYN-översvämning och sedan returnerar servern till som den var tidigare, utan märks.
Svarstaktik mot SYN-översvämningsattacker
När vissa högprofilerade webbplatser var inriktade blev det tydligt att en begränsningsteknik behövdes och snabbt. Problemet är att det är svårt att göra en server helt ogenomtränglig för sådana attacker. Tänk till exempel att även vad som kallas att riva ner anslutningar förbrukar serverresurser och kan orsaka annan huvudvärk.
Linux- och FreeBSD-utvecklare svarade med ett kärntillägg som kallas SYN-kakor, som har varit en del av aktiekärnan under lång tid. (Även om överraskande inte alla kärnor aktiverar dem som standard.) SYN-kakor fungerar med så kallade TCP-sekvensnummer. De har ett sätt att använda föredragna sekvensnummer när en anslutning ursprungligen upprättas och också mildra översvämningar genom att släppa SYN-paket som sitter i sin kö. Det betyder att de kan hantera många fler anslutningar om de måste. Som ett resultat bör kön aldrig bli överväldigad - åtminstone i teorin.
Vissa motståndare talar öppet mot SYN-cookies på grund av de ändringar de gör i TCP-anslutningar. Som ett resultat har TCP-cookie-transaktioner (TCPCT) införts för att lösa alla SYN-kakorbrister.
Förbli vaksam, skydda mot attacker
När det ständigt ökande antalet attackvektorer upptäcks och sedan utnyttjas på internet är det viktigt att alltid vara vaksam. Vissa typer av attacker tvingar både dem med goda avsikter och de med skadlig avsikt att utforska nya metoder för att skydda och attackera system. En sak för säker är att lärdomarna från enkla men sofistikerade attacker, som SYN-översvämningar, håller säkerhetsforskare ännu mer anpassade till hur protokoll och brandväggsprogramvara ska utvecklas i framtiden. Vi kan bara hoppas att det är till nytta för internet i stort.