Principio del ataque de inundación SYN Ataque SYN Recientemente, vi un artículo sobre el firewall de cookies SYN y lo busqué en chino. Por favor, tradúzcalo. Este artículo presenta 4 conceptos I: Introducción a SYN. II: ¿Qué es el ataque de inundación SYN? III: ¿Qué es la cookie SYN? IV. Cortafuegos de cookies SYN C = cliente (cliente) S = servidor (servidor) FW = cortafuegos (cortafuegos) I. Introducción a las cookies SYN Las cookies SYN son una tecnología que previene los ataques de inundación SYN. Fue inventado por D. J. Bernstein y Eric Schenk. SYN COOKIE ahora es parte del kernel de Linux (cuando la conecté, el valor predeterminado era no), pero solo protege el sistema Linux mientras se ejecuta. Solo estamos hablando de crear un firewall de Linux que proporcione protección SYN COOKIE para toda la red y todos los sistemas operativos de la red. Puede utilizar este firewall para bloquear conexiones TCP medio abiertas para que el sistema protegido no entre en un estado medio abierto (TCP_SYN_RECV). Cuando la conexión está completamente establecida, la conexión de cliente a servidor se completa a través del relé del firewall. 2: ¿Qué es un ataque de inundación SYN? (Advertencia del CERT) Cuando un sistema (llamémoslo cliente) intenta establecer una conexión TCP con un sistema que proporciona un servicio (un servidor), se intercambian una serie de mensajes entre C y el servidor. Esta tecnología de conexión se utiliza ampliamente en varias conexiones TCP, como inicio de sesión remoto, red, correo electrónico, etc. Primero, C envía un mensaje SYN al servidor, luego el servidor envía un paquete SYN-ACK a C en respuesta y finalmente C devuelve un paquete ACK para completar la conexión TCP. De esta manera, se establece la conexión de C con el servidor, y C y el servidor ahora pueden intercambiar datos entre sí. (La siguiente es una imagen del proceso anterior:) Cliente Servidor ------ ------ SYN--------------------gt;lt ;- ------------------SYN-ACK-ACK---------------------gt; servidor Ahora es posible enviar datos específicos del servicio. Existe un posible inconveniente de que cuando S devuelve un paquete SYN-ACK confirmado, es posible que no reciba un paquete ACK de C en respuesta. Esto también se conoce como conexión semiabierta. S necesita consumir una cierta cantidad de memoria del sistema esperando esta conexión pendiente. Si bien este número es limitado, un actor malicioso podría crear muchas conexiones semiabiertas para lanzar un ataque de inundación SYN. Las conexiones semiabiertas se pueden lograr fácilmente mediante la suplantación de IP. El atacante envía un paquete SYN al sistema víctima, que parece legítimo, pero en realidad el llamado C no responde en absoluto. Paquete SYN-ACK, lo que significa que la víctima nunca recibe el paquete ACK. En este punto, la conexión semiabierta eventualmente consumirá todos los recursos del sistema de la víctima y la víctima no podrá recibir ninguna otra solicitud. Normalmente, hay un tiempo de espera para esperar a que regrese un paquete ACK, por lo que la conexión semiabierta eventualmente expirará y la víctima no podrá recibir más solicitudes. Además... la conexión eventualmente expirará y el sistema víctima se reparará automáticamente. Aún así, el atacante podría fácilmente continuar el ataque enviando paquetes de solicitud SYN falsos hasta que se repare el sistema de la víctima. En la mayoría de los casos, la víctima no podrá aceptar ninguna otra solicitud, pero este ataque no afectará ninguna conexión entrante o saliente existente.
Sin embargo, el sistema de la víctima puede agotar los recursos del sistema, provocando otros problemas. Es casi imposible confirmar la ubicación del sistema atacante porque la dirección de origen en los paquetes SYN es en su mayor parte falsa. Cuando el paquete SYN llega al sistema víctima, no se puede encontrar su dirección real porque en la transmisión de paquetes basada en la dirección de origen, el filtrado de IP de origen es la única forma de verificar el origen del paquete. La cookie SYN es una implementación de TCP que utiliza cookies para responder a solicitudes TCP SYN. De acuerdo con la descripción anterior, en una implementación TCP normal, cuando S recibe un paquete SYN, devolverá un paquete SYN-ACK para responder y luego ingresará al estado TCP-SYN-RECV (conexión medio abierta), esperando la último paquete ACK devuelto. S utiliza un espacio de datos para describir todas las conexiones que se establecerán, pero el tamaño de este espacio de datos es limitado, por lo que el atacante lo llenará. Durante la COOKIE TCP SYN, cuando S recibe el paquete SYN, devolverá un paquete SYN-ACK, cuyo número de secuencia ACK está cifrado, es decir, consta de la dirección de origen, la secuencia de origen del puerto, la dirección de destino, el puerto de destino y el cifrado. semilla calculada. Entonces, S libera todo el estado. Si un paquete ACK regresa de C, S vuelve a calcular el paquete para determinar si es el paquete de retorno de un SYN-ACK anterior. Si es así, S puede ingresar directamente al estado de conexión TCP y abrir la conexión. De esta manera, S puede evitar esperar una conexión medio abierta. Las anteriores son solo las ideas básicas de SYN COOKIE. Existen muchas técnicas en su aplicación. Consulte los archivos de discusión de la lista de correo del kernel de años anteriores para obtener más detalles. 4. ¿Qué es el firewall SYN COOKIE? El firewall SYN COOKIE es una extensión de la cookie SYN
Si no le importa adoptarlo, ¡gracias!
¡Gracias!