Saturs
- TCP protokola pamati: kā darbojas SYN plūdi
- Bez kļūdām, bez stresa - jūsu soli pa solim, kā izveidot programmatūru, kas maina dzīvi, neiznīcinot savu dzīvi
- Slowloris
- Reakcijas taktika pret SYN plūdu uzbrukumiem
- Esiet modrs, aizsargājiet pret uzbrukumiem
Avots: Aleutie / Dreamstime.com
Izņemšana:
Ar satriecošajām 65 535 TCP pieslēgvietām, kas ir pieejamas vienā IP adresē, ir viegli saprast, kāpēc internetā ir tik daudz drošības iespēju. Bet, lai gan SYN uzbrukumi nav tikpat jauni, tos joprojām ir grūti risināt.
Pieņemama riska līmenis ir acīmredzams, ja jebkurš bizness atver vietni un ievieto to internetā, atverot durvis visiem apmeklētājiem. Tas, ko daži uzņēmumi, iespējams, neapzinās, ir tāds, ka daži riski ir nepārvarami pat masīvām korporācijām un valdības aģentūrām. 90. gadu vidū un beigās tika uzskatīts, ka viena veida uzbrukumi iznīcinošās blakusparādības ir visas, bet nešķīstošās, un tā joprojām ir problēma līdz šai dienai.
To sauc par SYN plūdu uzbrukumu. Tā kā satriecošās 65 535 TCP porti ir pieejami vienā IP adresē, tas viss var atstāt neaizsargātu programmatūru, kas klausās aiz šīm ostām, un tas ir viegli saprotams, kāpēc internetā ir tik daudz drošības izmantojumu. SYN plūdi ir atkarīgi no tā, ka tīmekļa serveri atbildēs uz acīmredzami likumīgiem Web lapu pieprasījumiem neatkarīgi no tā, cik pieprasījumu tiek iesniegti. Tomēr, ja uzbrucējs iesniedz daudz pieprasījumu, kas pēc tam atstāj piesaistītu tīmekļa serveri un nespēj turpināt sniegt patiesi likumīgus pieprasījumus, notiks katastrofa un tīmekļa serveris neizdosies. Pamata līmenī šādi darbojas SYN plūdi. Šeit apskatiet dažus no izplatītākajiem SYN uzbrukumu veidiem un to, ko tīkla un sistēmu administratori var darīt, lai tos mazinātu.
TCP protokola pamati: kā darbojas SYN plūdi
Pateicoties acīmredzamam acīmredzamu seku mazināšanas paņēmienu trūkumam, tiešsaistes bizness pamatoti baidījās no SYN uzbrukumiem, kad tos pirmo reizi identificēja savvaļā.
SYN plūdi, kas bija visnotaļ nomākti sistēmu un tīkla administratoru priekšā, bija stingri pakļauti dažādu pakalpojumu uzbrukumu noraidīšanai, un tas vismaz šķita, ka uzbrukumu trafiks sevi uzskatīja par likumīgu trafiku.
Lai novērtētu šīs uzbrukuma garšas vienkāršību - daži varētu teikt, ka skaistumu -, mums ir īsi jāskatās tuvāk protokols, kas ir atbildīgs par ievērojamu interneta daļu trafika daļu, Transmission Control Protocol (TCP).
Šāda uzbrukuma mērķis ir viegli absorbēt visus pieejamos tīmekļa serveru resursus, pārliecinot serveri par tā kalpošanas datiem likumīgiem apmeklētājiem. Tā rezultātā serveriem tiek liegta pieeja likumīgiem lietotājiem.
TCP savienojumi, kas tiek izmantoti vietņu un tvītu skatīšanai, starp miljoniem citu tiešsaistes funkciju, tiek iniciēti ar to, ko sauc par trīsvirzienu rokasspiedienu. Rokasgrāmatas priekšnoteikums ir vienkāršs, un, tiklīdz abas puses ir savienotas, šis sarežģītais protokols pieļauj tādas funkcijas kā ierobežot, cik daudz datu serveris saņems saņēmējam, pamatojoties uz to, cik daudz joslas platuma saņēmējam ir pieejams.
Sākot ar SYN paketi (kas apzīmē sinhronizāciju), kas nosūtīta no apmeklētāja vai klienta, serveris pēc tam efektīvi reaģē ar SYN-ACK paketi (vai sinhronizēt-apstiprināt), ko pēc tam apstiprina apmeklētājs, kas ir ACK pakete savu atbildi. Tajā brīdī ir izveidots savienojums, un satiksme var brīvi plūst.
Bez kļūdām, bez stresa - jūsu soli pa solim, kā izveidot programmatūru, kas maina dzīvi, neiznīcinot savu dzīvi
Jūs nevarat uzlabot savas programmēšanas prasmes, kad nevienam nerūp programmatūras kvalitāte.
SYN plūdu uzbrukums apiet šo vienmērīgo apmaiņu, neliekot ACK serverī pēc tā sākotnējā SYN-ACK nosūtīšanas. Vai nu šī pakete ir pilnībā izlaista, vai arī atbildē var būt maldinoša informācija, piemēram, viltus IP adrese, tādējādi piespiežot serveri izmēģināt un pēc tam pilnībā izveidot savienojumu ar citu mašīnu. Tas ir vienkārši, bet nāvējoši jebkurai saimniecei, kas ievēro TCP.
Slowloris
Viens no šīs uzbrukuma metodes variantiem, kas dažus gadus atpakaļ veidoja virsrakstus, sauca par Slowloris. Vietne Slowloris sevi raksturo kā "mazu joslas platumu, tomēr mantkārīgu un indīgu HTTP klientu!" Vietne noteikti rada satraucošu lasīšanu un apraksta, kā viena mašīna var "noņemt citas mašīnas tīmekļa serveri ar minimālu joslas platumu un blakusparādībām nesaistītiem pakalpojumiem un portiem".
Turpinājumā tiek skaidrots, ka šāds uzbrukums faktiski nav TCP uzbrukuma atteikums. Acīmredzot tas ir tāpēc, ka tiek izveidots pilns TCP savienojums, bet, kas ir ļoti svarīgi, Web lapas novilkšanai no servera tiek veikts tikai daļējs HTTP pieprasījums. Viena no blakusparādībām ir tāda, ka tīmekļa serveris var ļoti ātri atgriezties normālā darbības stāvoklī salīdzinājumā ar citiem uzbrukumiem.
Līdzīgi kā drausmīgais uzbrukumu dizains, šī funkcija varētu ļaut uzbrucējam īsā laikā izvietot kādu citu īslaicīgu uzbrukumu, kad serveris cīnās ar SYN plūdiem un pēc tam atgriežas serverī tā, kā tas bija iepriekš, bez tiek pamanīts.
Reakcijas taktika pret SYN plūdu uzbrukumiem
Tā kā tika mērķētas dažas augsta profila vietnes, kļuva skaidrs, ka ir nepieciešama tūlītēja seku mazināšanas tehnika. Problēma ir tā, ka ir grūti padarīt serveri par šādiem uzbrukumiem pilnīgi nekaitīgu. Piemēram, ņemiet vērā, ka pat tas, kas pazīstams kā savienojumu pārtraukšana, patērē servera resursus un var izraisīt citas galvassāpes.
Linux un FreeBSD izstrādātāji atbildēja ar kodola papildinājumu, ko sauc par SYN sīkdatnēm, kas ilgu laiku ir daļa no krājuma kodola. (Lai gan pārsteidzoši, ne visi kodoli pēc noklusējuma tos iespējo.) SYN sīkfaili darbojas ar tā sauktajiem TCP kārtas numuriem. Viņiem ir veids, kā izmantot vēlamos kārtas numurus, kad sākotnēji tiek izveidots savienojums, un tie arī mazina plūdus, nometot SYN paketes, kas atrodas viņu rindā. Tas nozīmē, ka viņi var rīkoties ar vēl daudziem savienojumiem, ja viņiem tas ir jādara. Rezultātā rinda nekādā gadījumā nedrīkst kļūt pārmērīga - vismaz teorētiski.
Daži pretinieki atklāti runā pret SYN sīkdatnēm, jo tiek veiktas izmaiņas TCP savienojumos. Tā rezultātā tika ieviesti TCP sīkfailu darījumi (TCPCT), lai novērstu visus SYN sīkfailu trūkumus.
Esiet modrs, aizsargājiet pret uzbrukumiem
Tā kā arvien vairāk uzbrukumu pārnēsātāju tiek atklāti un pēc tam izmantoti internetā, ir svarīgi vienmēr būt modriem. Noteiktu veidu uzbrukumi piespiež gan labus nodomus, gan ļaunprātīgus nodomus izpētīt jaunas metodes sistēmu aizsardzībai un uzbrukšanai. Viennozīmīgi ir tas, ka no vienkāršiem, taču sarežģītiem uzbrukumiem, piemēram, SYN plūdiem, gūtās atziņas drošības pētniekiem vēl vairāk ļauj pielāgoties tam, kā turpmāk jāattīstās protokoliem un ugunsmūra programmatūrai. Mēs varam tikai cerēt, ka tas dod labumu internetam kopumā.