התקפות שיטפון של SYN: פשוטות אך הרסניות באופן משמעותי

מְחַבֵּר: Judy Howell
תאריך הבריאה: 26 יולי 2021
תאריך עדכון: 21 יוני 2024
Anonim
Skyrim’s Combat Mods in 2020
וִידֵאוֹ: Skyrim’s Combat Mods in 2020

תוֹכֶן


מקור: Aleutie / Dreamstime.com

להסיר:

עם 65,535 יציאות TCP מדהימות שזמינות בכתובת IP יחידה, קל לראות מדוע יש כל כך הרבה ניצולי אבטחה באינטרנט. אבל בעוד התקפות SYN כמעט אינן חדשות, עדיין קשה לטפל בהן.

רמת סיכון מקובלת ניכרת כאשר עסק כלשהו משיק אתר ומעלה אותו באינטרנט, ופותח את שעריו לכל המבקרים. מה שייתכן שעסקים מסוימים לא מבינים הוא כי סיכונים מסוימים אינם ניתנים להתעלמות, אפילו עבור תאגידים גדולים וסוכנויות ממשלתיות. במהלך אמצע שנות ה -90 המאוחרות, סוג אחד של התקפות תופעות לוואי הרסניות נחשבו לכולן בלתי פתירות - והיא ממשיכה להיות בעיה עד היום.

זה ידוע כמתקפת שיטפון של SYN. כאשר 65,535 יציאות TCP מדהימות הופכות לזמינות בכתובת IP יחידה שכל אחת מהן יכולה להשאיר כל תוכנה שמאזינה מאחורי יציאות אלו פגיעות, קל לראות מדוע יש כל כך הרבה ניצולי אבטחה באינטרנט. שיטפונות SYN מסתמכים על כך ששרתי רשת יגיבו לבקשות לגיטימיות לכאורה לדפי אינטרנט, לא משנה כמה בקשות מבוצעות. עם זאת, אם תוקף יגיש המון בקשות, אשר לאחר מכן משאירות את שרת האינטרנט קשור ואינו מסוגל להמשיך לשרת בקשות לגיטימיות באמת, אסון יכה ושרת האינטרנט ייכשל. ברמה הבסיסית, זה איך שיטפונות SYN עובדים. כאן תסתכל על כמה מהסוגים הנפוצים ביותר של התקפות SYN ומה יכולים מנהלי רשת ומערכת לעשות כדי להקל עליהם.


יסודות פרוטוקול TCP: כיצד עובד שיטפון של SYN

הודות למחסור לכאורה בטכניקות להפחתה ברורות, התקפות SYN חששו בצדק מצד עסקים מקוונים כאשר זוהו לראשונה בטבע.

הנחיתה בתקיפות תחת מניעת השירות של מגוון התקפות, מה שהפך את שיטפונות SYN למאכלים ביותר על מערכות ומנהלי רשת היה שלכאורה לפחות, תנועת ההתקפה הציגה את עצמה כתנועה לגיטימית.

כדי להעריך את הפשטות - יש שיגידו יופי - של טעם התקיפה הזה, עלינו לבחון בקצרה קצת יותר מקרוב את הפרוטוקול האחראי לחלק משמעותי מתעבורת האינטרנט, TCP (Transmission Control Protocol).

מטרת התקפה כזו היא לספוג בקלות את כל שרתי האינטרנט המשאבים הזמינים בכך שישכנע את השרת את נתוני ההגשה שלו למבקרים לגיטימיים. כתוצאה מכך, שירות נשלל מהשרתים לגיטימיים לשרתים.

חיבורי TCP, המשמשים לצפייה באתרי אינטרנט וציוצים, בקרב מיליוני פונקציות מקוונות אחרות, מופעלים באמצעות מה שמכונה לחיצת יד תלת-כיוונית. הנחת היסוד ללחיצת היד היא פשוטה וברגע ששני הצדדים מחוברים, פרוטוקול מתוחכם זה מאפשר פונקציונליות כמו הגבלת קצב כמות הנתונים שיש לשרת לנמען בהתבסס על רוחב הפס שיש לנמען.


החל מחבילת SYN (העומדת בסנכרון) שנשלחה מהמבקר או הלקוח, השרת מגיב ביעילות באמצעות חבילת SYN-ACK (או סנכרון-אישור), שאושר אז על ידי המבקר, שהוא חבילה של ACK של בתגובה. בשלב זה נוצר קשר והתנועה יכולה לזרום בחופשיות.

אין באגים, אין מתח - המדריך השלב אחר צעד שלך ליצירת תוכנה לשינוי חיים מבלי להרוס את חייך

אתה לא יכול לשפר את כישורי התכנות שלך כאשר לאף אחד לא אכפת מאיכות התוכנה.

התקפת שיטפון של SYN עוקפת חילופי דברים חלקים זה על ידי אי-הכנסת ה- ACK לשרת לאחר שליחת ה- SYN-ACK הראשונית. או שהמנה הזו מושמטת לחלוטין, או שהתגובה עשויה להכיל מידע מטעה כמו כתובת IP מזויפת, ובכך לאלץ את השרת לנסות ואז להתחבר למחשב אחר לחלוטין. זה פשוט אך קטלני עבור כל מארח המכבד את TCP.

סלוורליס

גרסה אחת של שיטת התקפה זו, שהפכה את הכותרות לפני כמה שנים אחורה, נקראה Slowloris. אתר Slowloris מתאר את עצמו כ"רוחב הפס הנמוך, עם זאת לקוח HTTP חמדן ורעיל! " האתר בהחלט מקפיד על קריאה מדאיגה ומתאר כיצד מכונה יחידה עשויה "להוריד שרת אינטרנט אחר של מכונות עם רוחב פס מינימלי ותופעות לוואי בשירותים ונמלים שאינם קשורים."

זה ממשיך ומסביר כי התקפה כזו אינה למעשה התקפת מניעת שירות של TCP. ככל הנראה הסיבה לכך היא שנוצר חיבור TCP מלא, אך חשוב מכך, רק בקשת HTTP חלקית מתבצעת לשלוף דף אינטרנט מהשרת. תופעת לוואי אחת היא ששרת האינטרנט יכול לחזור למצב ההפעלה הרגיל שלו מהר מאוד ביחס להתקפות אחרות.

לאורך אותו וריד מרושע של עיצוב ההתקפות, תכונה זו עשויה לאפשר לתוקף לפרוס התקפה קצרת מועד אחרת תוך זמן קצר כאשר השרת נאבק בשיטפון של SYN ואז מחזיר את השרת כפי שהיה לפני, בלי שמים לב אליו.

טקטיקות תגובה נגד התקפות שיטפון של SYN

עם מיקוד של כמה אתרים בעלי פרופיל גבוה, התברר שיש צורך בטכניקת הפחתה ומיידית. הבעיה היא שלהפוך שרת אטום לחלוטין להתקפות כאלה קשה. קחו לדוגמה, שאפילו מה שמכונה קריסת חיבורים צורכים משאבי שרת ויכולים לגרום לכאבי ראש אחרים.

מפתחי לינוקס ו- FreeBSD הגיבו בתוספת גרעינים בשם SYN cookies, שהייתה חלק מגרעין המניות זה זמן רב. (אם כי למרבה ההפתעה, לא כל הגרעינים מאפשרים להם כברירת מחדל.) עוגיות SYN עובדות עם מה שמכונה מספרי רצף TCP. יש להם דרך להשתמש במספרי רצפים מועדפים כאשר מתחילים להתחבר במקור וגם להקטין שיטפונות על ידי הטלת מנות SYN שיושבות בתור שלהן. משמעות הדבר היא שהם יכולים להתמודד עם הרבה יותר קשרים אם הם צריכים. כתוצאה מכך, התור לעולם לא צריך להיות מוצף - לפחות בתיאוריה.

חלק מהמתנגדים מדברים בגלוי נגד עוגיות SYN בגלל השינויים שהם מבצעים בחיבורי TCP. כתוצאה מכך, הוכנסו עסקאות עוגיות TCP (TCPCT) כדי להתגבר על כל מגרעות של עוגיות SYN.

הישאר ערניים, הגן מפני התקפות

עם התגברות המספר ההולך וגובר של וקטורי התקפה ואז מנוצלים באינטרנט, חשוב להישאר ערניים בכל עת. סוגים מסוימים של התקפות מאלצים את אלה עם כוונות טובות וגם את אלה עם כוונה זדונית לחקור שיטות חדשות להגנה ולתקיפה של מערכות. דבר אחד בטוח הוא שהלקחים שנלמדו מהתקפות פשוטות אך מתוחכמות, כמו שיטפונות של SYN, גורמים לחוקרי האבטחה להתאים עוד יותר לאופן שבו פרוטוקולים ותוכנות חומת אש צריכים להתפתח בעתיד. אנחנו יכולים רק לקוות שזה מועיל לאינטרנט בכלל.