Biztonsági tcp
4.6. Árvíz SYN-csomagokat
Emlékezzünk, hogy a TCP / IP a bejövő kapcsolatokat. A rendszer reagál, hogy jöjjön a C-SYN -packet S-SYN / C-ACK -packet, lefordítja a munkamenet SYN_RECEIVED állami és beteszi a sorban. Ha a megadott időn belül az ügyfél jön S-ACK. a vegyületet eltávolítjuk a sorból, különben a kapcsolat átvisszük egy állam létrehozta.
Vegyük azt az esetet, ahol az összes bemeneti csatlakozók tele van, a rendszer megkapja a SYN -Package felkérik, hogy telepítse a kapcsolatot. Az RFC, akkor figyelmen kívül hagyja.
SYN elárasztás -Package alapján sorba túlcsordulás szerver, akkor a szerver nem reagál a felhasználói kérésekre. A leghíresebb ilyen támadás - egy támadás Panix, New York-i székhelyű szolgáltatót. Panix nem működött 2 hétig.
A különböző rendszerek munkasor valósul különböző módon. Így a BSD-rendszerek, minden kikötőben saját queue mérete 16 elemekkel. A SunOS rendszereket. éppen ellenkezőleg, egy ilyen osztály, és nincs rendszer egyszerűen egy nagy közös sorban. Ennek megfelelően, annak érdekében, hogy megakadályozza, például a WWW-port BSD elég SYN-16 csomag, és a számuk jóval nagyobb lesz a Solaris 2.5.
Lejártát követően egy bizonyos ideig (attól függően, hogy a végrehajtás), a rendszer eltávolítja a kérelmet a sorból. Azonban semmi nem akadályozza meg kekszet küldjön egy új kérésköteg. Így még ha a kapcsolat 2400 bps, cracker küldhet tizenöt percenként 20-30 csomag FreeBSD -server, tartása a készenléti állapotban (természetesen ez a hiba kijavítása után az utolsó változat a FreeBSD)
Detection egyszerű - egy nagyszámú vegyület a SYN_RECEIVED állapotban. figyelmen kívül hagyva próbál csatlakozni ehhez a porthoz. Amint védelem ajánlható tapasz, amely végrehajtja az automatikus „megtizedelte” sort, például a Korai Random csepp algoritmus. Annak érdekében, hogy megtudja, ha a rendszer elleni SYN-elárasztás, lépjen kapcsolatba a rendszer gyártója.
Egy másik változata védelem - tűzfal beállítva, hogy a bejövő TCP / IP-kapcsolat jön létre magát, és csak ezután vetette őket a hálózat egy adott gépen. Ez lehetővé teszi, hogy korlátozza a szin-árvíz, és ne hagyja, hogy a hálózaton belül.