SYN-атака – это одна из самых эффективных пакетных атак, дающая наибольший эффект с минимальными затратами. Она подменяет IP исходного соединения ложным, на который отвечающая сторона не в состоянии ответить. Установка TCP-соединения требует обмена тремя пакетами: первый с битом SYN (синхронизации) от пользователя, затем ответ SYN/ACK от Web-сервера, и, наконец, подтверждение ACK (от англ. ACKnowledge) от пользователя. В случае задержки в установке соединения, сервер посылает ответ SYN/ACK несколько раз, а затем переходит в режим ожидания, выделив ресурсы на возможное соединение. Периоды повтора попытки и тайм-аута, в общем, могут занимать до трех минут на одно фиктивное соединение. Таким образом, даже небольшой поток SYN-пакетов, на которые невозможно ответить, может привести к переполнению сервера в небольшие сроки. Злонамеренные SYN-пакеты сложно выделять среди обычных, так как установка соединения – это необходимый элемент сетевого трафика. Атаку возможно предотвратить, изменяя количество повторных SYN/ACK ответов сервера, но существует опасность, что сервером будет отказано и в обычных соединениях. Специалист компании Tech-Mavens Росс Оливер исследовал некоторые системы, представленные на рынке, на защищенность от SYN-атак. Результаты исследования были им представлены на симпозиуме по безопасности USENIX в Вашингтоне. Наибольшую подверженность SYN-атакам показали брандмауэры CISCO PIX и Firewall-1 от Checkpoint, дополненные модулем SYNDefender. Тестовый сервер Оливера (Apache на Red Hat 7.1), оснащенный этими модулями отказывал в соединении при 500 SYN-запросах в секунду. Самым защищенным от SYN-атак оказался коммутатор AppSafe от Top Layer, не встретивший никаких трудностей при числе запросов 22000 в секунду. Такое количество запросов было максимальным для системы Оливера. Коммутатор разделяет “нормальный”, “подозрительный” и “злонамеренный” траффик согласно правилам, которые задает администратор. Имеется также возможность отказывать в доступе “проблемным” IP-адресам на срок от 15 секунд до 7 дней. Источник: Журнал "Компьютерра" |