SYN flood attack DDoS là gì ? Cách thức phòng chống ! – VNSO – Nhà cung cấp dịch vụ lưu trữ Việt Nam

SYN Flood attack khai thác từ lỗ hổng bên trong TCP / IP bắt tay nhau trong việc tiến công phá vỡ một dịch vụ web .

Cuộc tấn công SYN Flood là gì?

SYN flood ( half-open attack ) là một kiểu tiến công phủ nhận dịch vụ ( DDos ), tiến công này với mục tiêu làm cho Server không có lưu lượng để truy vấn hợp pháp bằng cách tiêu thụ tổng thể tài nguyên server đang có sẵn. Bằng việc gửi liên tục gửi những packet tin nhu yếu liên kết khởi đầu ( SYN ). Người tiến công hoàn toàn có thể áp đảo toàn bộ những cổng có sẵn trên Server được chọn muc tiêu, làm cho thiết bị Client cung ứng lưu lượng hợp pháp một cách lờ đờ hoặc không phân phối kịp thời .

Làm thế nào tấn công SYN Flood ?

Một cuộc tiến công DDoS SYN-flood tận dụng quá trình bắt tay ba chiều TCP. Trong điều kiện kèm theo thông thường, liên kết TCP được biểu lộ tiến trình 3 bước riêng không liên quan gì đến nhau để tạo được sự liên kết như sau :

Bước 1: Đầu tiên, máy tấn công gửi 1 packet tin SYN đến Server để yêu cầu kết nối.

Bước 2: Sau khi tiếp nhận packet SYN, Server phản hồi lại máy khách bằng một packet SYN/ACK, để xác nhận thông tin từ Client.

Bước 3: Cuối cùng, Client nhận được packet tin SYN/ACK thì sẽ trả lời server bằng packet tin ACK báo với server biết rằng nó đã nhận được packet tin SYN/ACK, kết nối đã được thiết lập và sẵn sàng trao đổi dữ liệu.

SYN flood attackĐể tạo phủ nhận dịch vụ ( DOS ), thực tiễn kẻ tiến công sẽ khai thác sau khi nhận được packet SYN bắt đầu từ Client, Server sẽ phản hồi lại 1 hoặc nhiều packet SYN / ACK và chờ đến bước ở đầu cuối trong quy trình Handshake. Ở đây, phương pháp thực thi của nó như sau :
Bước 1 : Kẻ tiến công sẽ gửi một khối lượng lớn những packet tin SYN đến Server được nhắm là tiềm năng và thường là những địa chỉ IP trá hình .
Bước 2 : Sau đó, Server sẽ phản hồi lại từng nhu yếu liên kết, để lại 1 cổng mở chuẩn bị sẵn sàng tiếp đón và phản hồi .
Bước 3 : Trong khi Server chờ packet ACK ở bước sau cuối từ Client, packet mà không khi nào đến, kẻ tiến công liên tục gửi thêm những packet SYN. Sự Open những packet SYN mới khiến máy chủ trong thời điểm tạm thời duy trì liên kết cổng mở mới trong một thời hạn nhất định, một khi tổng thể những cổng có sẵn được sử dụng thì Server không hề hoạt động giải trí như thông thường .

Trong kết nối mạng, khi Server bên này để kết nối mở nhưng máy bên kia kết nối thì không, kết nối này được coi là half-open. Trong kiểu tấn công DDos, sau khi server gửi gói tin SYN/ACK nó sẽ phải đợi cho đến khi client trả lời hoặc hết thời gian timeout, đến khi các port trở lại bình thường. Kết quả của kiểu tấn công này được coi là cuộc tấn công half-open.

SYN flood attack

SYN Flood( half-open) có thể xảy ra theo 3 cách khác nhau:

  1. Tấn công trực tiếp: SYN Flood ở những nơi địa chỉ IP không bị giả mạo thì được coi là tấn công trực tiếp. Trong cuộc tấn công này, kẻ tấn công không hoàn toàn giấu địa chỉ IP của họ. Kết quả là kẻ tấn công sử dụng duy nhất 1 thiết bị nguồn có địa chỉ IP thực để tạo ra cuộc tấn công. Kẻ tấn công rất dễ bị phát hiện và giảm nhẹ. Để tạo trạng thái half-open trên Server mục tiêu, hacker ngăn chặn máy của họ phản ứng với packet tin SYN/ACK của Server. Điều này thường đạt được nhờ quy tắc tường lửa ngăn chặn các packet tin đi ra ngoài packet tin SYN hoặc chọn lọc ra bất kỳ packet tin SYN/ACK xuất hiện trước khi chúng ảnh hưởng những độc hại đến máy người dùng.  Thực tế thì cách này ít sử dụng( nếu có), việc giảm thiểu cũng khá đơn giản – chỉ cần chặn địa chỉ IP của từng hệ thống độc hại. Nếu kẻ tấn công đang sử dụng Botnet như Mirai Botnet thì họ sẽ thành công trong việc che giấu địa chỉ IP  của các thiết bị nhiễm bệnh.
  2. Tấn công giả mạo: Một người dùng có ác tâm cũng có thể giả mạo địa chỉ IP trên mỗi packet tin SYN họ gửi đi để ngăn chặn, giảm thiểu tối đa và làm cho danh tính của họ khó phát hiện hơn. Trong những packet tin có thể bị giả mạo, có những packet tin có thể phát hiện lại nguồn của họ. Việc này rất khó để khám phá ra danh tính nhưng không phải là không thể. Đặc biệt là các nhà cung cấp dịch vụ Internet (ISP) sẵn sàng giúp đỡ.
  3. Tấn công phân tán trực tiếp(DDoS): Nếu cuộc tấn công tạo ra bằng cách sử dụng Botnet thì khả năng theo dõi cuộc tấn công trở lại nguồn của nó rất thấp. Với mức độ che giấu được thêm vào, kẻ tấn công có thể có các thiết bị phân tán cũng giả mạo địa chỉ IP mà nó gửi các packet. Nếu người tấn công đang sử dụng botnet như mirai botnet. Nhìn chung họ sẽ thành công trong việc che giấu IP về thiết bị bị nhiễm.

Bằng cách sử dụng tiến công SYN flood, một kẻ xấu nào đó nỗ lực tạo ra sự tiến công Ddos tới thiết bị tiềm năng hoặc dịch vụ với lưu lương truy vấn ít hơn so với những cuộc tiến công Ddos. Thay cho những cuộc tiến công lớn, nhằm mục đích mục tiêu làm quá tải hạ tầng xung quanh tiềm năng, SYN attacks only need to be larger than the available backlog in the target’s operating system. Nếu kẻ tiến công hoàn toàn có thể xác lập kích cỡ của backlog và mỗi lần liên kết sẽ mở trong bao lâu trước khi hết thời hạn, kẻ tiến công hoàn toàn có thể nhắm tiềm năng những tham số đúng mực thiết yếu để vô hiệu mạng lưới hệ thống, bằng cách giảm tổng lưu lượng xuống mức tối thiểu thiết yếu để tạo Ddos .

SYN flood attack

Làm thế để khắc phục tấn công SYN flood?

Lỗ hổng SYN flood đã được biết đến từ lâu và một số ít cách giảm thiểu đã được sử dụng. Một vài cách khắc phục gồm có :

Tăng hàng đợi backlog

Mỗi hệ quản lý và điều hành trên thiết bị tiềm năng có một số ít liên kết nhất định half-open được được cho phép. Một phản hồi so với khối lượng lớn những gói SYN là tăng số lượng liên kết half-open tối đa hoàn toàn có thể mà hệ quản lý và điều hành sẽ được cho phép. Để tăng thành công tối đa backlog, mạng lưới hệ thống phải dữ trữ thêm tài nguyễn bộ nhớ để giải quyết và xử lý toàn bộ những nhu yếu mới. Nếu mạng lưới hệ thống không có đủ bộ nhớ để giải quyết và xử lý kích cỡ backlog tồn dư tăng lên, hiệu xuất mạng lưới hệ thống bị tác động ảnh hưởng một cách xấu đi, nhưng điều đó vẫn tốt hơn bị tiến công Ddos .

Lặp lại sự kết nối half-open TCP cũ

Một cách giảm thiểu liên quan đến việc ghi đè lên các kết nối half-open cũ sau khi backlog đã được lấp đầy. Cách này yêu cầu các kết nối hợp pháp đầy đủ trong thời gian ngắn so với các backlog bằng các packets SYN độc hại. Cách bảo vệ đặc biệt này thất bại khi số lượng tấn công tăng lên hoặc kích thước backlog quá nhỏ thì không thích hợp.

Xem thêm: QUY ĐỊNH THANH TOÁN BÙ TRỪ CÔNG NỢ – ĐẠI LÝ THUẾ Q.P.T

SYN cookies

Cách này lien quan đến việc tạo ra 1 cookie của server. Để tránh rủi ro tiềm ẩn mất những liên kết khi backlog đã được lấp đầy. Server phản hồi từng nhu yếu liên kết từ packet SNY / ACK, sau đó vô hiệu phản hồi SYN khỏi backlog, xóa nhu yếu khỏi bộ nhớ và để port mở và sẵn sàng chuẩn bị tạo liên kết mới. Nếu liên kết là môt nhu yếu hợp pháp và packet ACKcuối cùng được gửi từ client đến server, sau đó server sẽ kiến thiết xây dựng lại ( với 1 số ít hạn chế ) đảm nhiệm SYN backlog. Mặc dù sự cố găng giảm thiểu này mất 1 số ít thông tin về liên kết TCP, nhưng nó là tốt hơn so với bị Ddos tiến công .
Xem thêm những gói Thuê Máy Chủ tại VNSO

Rate this post