¿Cuál es el principio del ataque de denegación de servicio (DoS)?
SYN Flood: Este es un método de ataque que explota fallas en el protocolo TCP para enviar una gran cantidad de solicitudes de conexión TCP falsificadas, lo que hace que el atacante agote los recursos (la CPU está completamente cargada o la memoria es insuficiente).
El proceso de ataque SYN Flood se denomina protocolo de enlace de tres vías en el protocolo TCP y SYN Flood deniega el servicio.
El ataque se logra mediante un apretón de manos de tres vías.
1. El atacante envía un mensaje TCP que contiene el indicador SYN al servidor atacado. SYN (Sincronizar) es un mensaje de sincronización. El mensaje de sincronización indicará el puerto utilizado por el cliente y el número de secuencia inicial de la conexión TCP. En este momento, se establece el primer protocolo de enlace con el servidor atacado.
2. Después de recibir el mensaje SYN del atacante, el servidor víctima devolverá un mensaje SYN ACK, lo que indica que la solicitud del atacante ha sido aceptada. Al mismo tiempo, el número de secuencia TCP aumenta en uno y el número de secuencia TCP aumenta en uno. Se confirma ACK (Acknowledgement), estableciendo así un segundo protocolo de enlace con el servidor atacado.
3. El atacante también devuelve un mensaje de confirmación ACK al servidor víctima. El número de secuencia TCP también aumenta en uno. En este punto, se completa una conexión TCP y se completa el protocolo de enlace de tres vías.
El principio específico es: en el protocolo de enlace de tres vías de la conexión TCP, suponiendo que un usuario falla o se desconecta repentinamente después de enviar un mensaje SYN al servidor, el servidor no podrá recibir al cliente. después de enviar un mensaje de respuesta SYN ACK del cliente (el tercer protocolo de enlace no se puede completar, en este caso, el servidor generalmente volverá a intentarlo (enviará SYN ACK al cliente nuevamente) y esperará un período de tiempo antes de descartar el mensaje. conexión inacabada.
La duración de este período de tiempo se denomina tiempo de espera SYN. En términos generales, este tiempo es del orden de minutos (alrededor de 30 segundos a 2 minutos);
La anomalía de un usuario. No es un gran problema que un hilo espere 1 minuto, pero si un atacante malicioso simula esta situación (direcciones IP falsificadas) a gran escala, entonces el lado del servidor consumirá mucho dinero para mantener una gran lista de semi-conexión.
Incluso un simple guardado y recorrido consumirá mucho tiempo de CPU y memoria, sin mencionar el reintento constante de SYN ACK para las IP en esta lista.
De hecho, si la pila TCP/IP del servidor no es lo suficientemente potente, el resultado final suele ser un fallo por desbordamiento de la pila; incluso si el sistema del lado del servidor es lo suficientemente potente, el lado del servidor estará ocupado. Procesa el TCP falsificado por la solicitud de conexión y no tiene tiempo para prestar atención a la solicitud normal del cliente (después de todo, la proporción de solicitudes normales del cliente es muy pequeña);
En este momento, desde la perspectiva. de un cliente normal, el servidor pierde respuesta. Esta situación se llama: El lado del servidor está sujeto a un ataque de inundación SYN (ataque de inundación SYN).
Si el sistema sufre una inundación SYN, entonces el tercer paso no ocurrirá y ni el firewall ni S recibirán el paquete SYN correspondiente del primer paso, por lo que esta vez repelimos el ataque de inundación SYN.
Métodos de defensa
Los métodos de defensa para ataques de denegación de servicio suelen ser la detección de intrusiones, el filtrado de tráfico y la autenticación multifactor. El tráfico destinado a obstruir el ancho de banda de la red se filtrará, mientras que el tráfico normal sí. ser bloqueado normalmente.
1. Firewall
El firewall puede establecer reglas, como permitir o denegar protocolos de comunicación, puertos o direcciones IP específicos. Cuando un ataque se origina a partir de algunas direcciones IP anormales, simplemente puede usar una regla de denegación para bloquear todas las comunicaciones desde la IP de origen del ataque.
Los ataques complejos son difíciles de bloquear con reglas simples. Por ejemplo, cuando se ataca el puerto 80 (servicio web), es imposible denegar todas las comunicaciones en el puerto porque también bloqueará el tráfico legítimo.
2. Switch
La mayoría de los switch tienen ciertos límites de velocidad y capacidades de control de acceso.
Algunos conmutadores proporcionan limitación automática de velocidad, configuración del tráfico, conexión tardía, inspección profunda de paquetes y filtrado de IP falso para detectar y filtrar ataques de denegación de servicio. Por ejemplo, los ataques de inundación SYN se pueden prevenir mediante conexiones tardías. Los ataques basados en contenido se pueden bloquear mediante una inspección profunda de paquetes.
¿Referencia para el contenido anterior? Enciclopedia Baidu: ataque de denegación de servicio