SYN flood

A Wikipédiából, a szabad enciklopédiából
Szabályos kapcsolatfelvétel Alice felhasználó és a kiszolgáló között. A háromutas kézfogás megfelelően végbemegy.
SYN flood. A támadó, Mallory csomagokat küld a szervernek, de nem küld vissza ACK nyugtát. Így a szerveren félig nyitott kapcsolatok fogyasztják a szerver erőforrásait. Alice, a szerver felhasználója csatlakozni próbál, de a szerver elutasítja, így szolgáltatás-megtagadás lép fel.

A SYN flood, azaz SYN elárasztás egy az interneten végrehajtott, szolgáltatás-megtagadással járó támadás.[1]

Az IP hálózatok – így az internet is legnépszerűbb szolgáltatásai (SMTP, HTTP, FTP) TCP kapcsolatot alkalmaznak. A TCP kapcsolat felépítését egy úgynevezett „háromutas” kézfogás előzi meg:

  • A kliens SYN (szinkronizáló) csomagot küld.
  • A szerver SYN-ACK csomaggal nyugtáz.
  • A kliens ACK csomaggal nyugtáz. A kapcsolat ettől a ponttól működőképes.

Két fő módszer van a SYN elárasztásos támadásra, mindkettő azon alapul, hogy a szerver sohasem kapja meg az ACK csomagot. Az egyikben a támadó egyszerűen nem küldi el az utolsó ACK üzenetet, a másikban meghamisítja a SYN csomag forrás IP-címét, így a szerver a SYN-ACK nyugtát a hamis IP-címre küldi el.[2]

A támadás menete[szerkesztés]

  • A támadó SYN csomagot küld, hamisított feladó címmel.
  • A célpont tárolja a leendő kapcsolat adatait, majd SYN-ACK nyugtázó csomagot küld a feladónak (a nagy valószínűséggel hamisított címre).
  • A célpont nem kap választ, ezért néhányszor (általában még háromszor) újraküldi az üzenetet.
  • A célpont felszabadítja a kapcsolat tárolására szolgáló memóriát.

A támadó nagy mennyiségű SYN csomaggal árasztja el a célpontot, amelynek a kapcsolatok állapotát tároló memóriája megtelik, így nem lesz képes új TCP kapcsolatot létrehozni.

A védekezés módszerei[szerkesztés]

  • A „félkész” kapcsolatok tárolására szolgáló memória megnövelése.
  • Az adott forrásból érkező kapcsolatok számának limitálása (adott időintervallumon belül)
  • SYN cookies

A modern TCP/IP stackek már megfelelően kezelik a félig nyitott kapcsolatokkal kapcsolatos helyzeteket, ezért náluk a SYN flood nem jelent speciális esetet az átviteli csatorna teljes kapacitásának kihasználására épülő támadásokhoz képest.

Források[szerkesztés]

  1. CA-1996-21: TCP SYN Flooding and IP Spoofing Attacks. (Hozzáférés: 2022. március 6.)
  2. Cloudflare.com – SYN flood attack. (Hozzáférés: 2022. március 6.)