Версия для печати
28.08.2001
Методы защиты от SYN-flood DoS-атак.
SYN-атака – это одна из самых эффективных пакетных атак, дающая наибольший эффект с минимальными затратами. Она подменяет IP исходного соединения ложным, на который отвечающая сторона не в состоянии ответить. Установка TCP-соединения требует обмена тремя пакетами: первый с битом SYN (синхронизации) от пользователя, затем ответ SYN/ACK от Web-сервера, и, наконец, подтверждение ACK (от англ. ACKnowledge) от пользователя. В случае задержки в установке соединения, сервер посылает ответ SYN/ACK несколько раз, а затем переходит в режим ожидания, выделив ресурсы на возможное соединение.
Периоды повтора попытки и тайм-аута, в общем, могут занимать до трех минут на одно фиктивное соединение. Таким образом, даже небольшой поток SYN-пакетов, на которые невозможно ответить, может привести к переполнению сервера в небольшие сроки.
Злонамеренные SYN-пакеты сложно выделять среди обычных, так как установка соединения – это необходимый элемент сетевого трафика. Атаку возможно предотвратить, изменяя количество повторных SYN/ACK ответов сервера, но существует опасность, что сервером будет отказано и в обычных соединениях.
Специалист компании Tech-Mavens Росс Оливер исследовал некоторые системы, представленные на рынке, на защищенность от SYN-атак. Результаты исследования были им представлены на симпозиуме по безопасности USENIX в Вашингтоне.
Наибольшую подверженность SYN-атакам показали брандмауэры CISCO PIX и Firewall-1 от Checkpoint, дополненные модулем SYNDefender. Тестовый сервер Оливера (Apache на Red Hat 7.1), оснащенный этими модулями отказывал в соединении при 500 SYN-запросах в секунду.
Самым защищенным от SYN-атак оказался коммутатор AppSafe от Top Layer, не встретивший никаких трудностей при числе запросов 22000 в секунду. Такое количество запросов было максимальным для системы Оливера.
Коммутатор разделяет “нормальный”, “подозрительный” и “злонамеренный” траффик согласно правилам, которые задает администратор. Имеется также возможность отказывать в доступе “проблемным” IP-адресам на срок от 15 секунд до 7 дней.

Источник: Журнал "Компьютерра"