Защита стека TCP/IP от SYN атак

ОГЛАВЛЕНИЕ

Большинство людей знает, насколько может быть проблематична защита от SYN-атак. Обычно используются несколько более или менее эффективных методов. Почти в каждом случае, основным решением является правильная фильтрация пакетов. В дополнение к созданию пакетных фильтров, администратором может быть выполнена модификация TCP/IP стека данной операционной системы. Данный метод - настройка TCP/IP стека в различных операционных системах, и будет описан ниже.

В то время как невозможно полностью предотвратить SYN атаки, настройка TCP/IP стека помогает уменьшить влияние этого вида атак, при этом все еще разрешая легальный клиентский трафик через сервер. Необходимо отметить, что некоторые SYN атаки не всегда пытаются "положить" серверы, вместо этого они пытаются потребить всю пропускную способность вашего Internet канала.

Что может сделать администратор, когда его серверы подвергаются классической (не использующей заполнения пропускной способности интернет-канала), SYN атаке? Одним из наиболее важных шагов является включение встроенных в операционную систему механизмов защиты, таких как SYN cookies или SynAttackProtect. Дополнительно, в некоторых случаях, необходима настройка параметров TCP/IP стека. Изменение заданных по умолчанию значений стековых переменных, является уже другим уровнем защиты и помогает нам лучше защитить наши хосты. В этой статье мы сконцентрируем наше внимание на:

  • Увеличении очереди полуоткрытых соединений (в состоянии SYN RECEIVED).
  • Уменьшении, в очереди, периода времени хранения незавершенных подключений в состоянии SYN RECEIVED.

Этот метод выполняется с помощью уменьшения времени первой повторной передачи пакета или уменьшения (вплоть до полного отключения) количества повторных передач пакета. Процесс повторной передачи пакета выполняется сервером, до получения от клиента ACK пакета. Пакет с флагом ACK завершает процесс установления соединения между сервером и клиентом.

Необходимо обратить внимание на то, что нападающий может посылать большее количество пакетов с флагом SYN, и тогда вышесказанные операции не смогут решить эту проблему. Однако их выполнение может увеличить вероятность создания полного подключения с легальными клиентами.

Также необходимо помнить, что модификация переменных, изменит режим работы стека TCP/IP. Так, после модификации, мы должны удостовериться, что сервер может должным образом связываться с другими хостами. Например, отключение повторных передач пакета в некоторых системах низкой пропускной способностью, может привести к отказу в работе при легальных запросах. В этой статье можно найти описание TCP/IP переменных для следующих операционных систем: Microsoft Windows 2000, RedHat Linux 7.3, Sun Solaris 8 и HP-UX 11.00.

Читайте также:
  • IP-фрагментация
    IP-фрагментация и реассемблированиеIP Протокол был спроектирован для использования на широком разнообразии каналов передачи данных. Хотя максимальная длина датаграммы IP - 64 КБ, большинство каналов передачи данных устанавливают максимальный предел длины пакета, названный MTU. Значение MTU зависит о...
  • Протокол GRE
    Полученный в результате пакет GRE инкапсулируется в пакет другого протокола (протокол доставки). В данной статье мы рассмотрим форматы пакетов проткола GRE. GRE версии 0Формат заголовка GRE версии 0 выглядит следующим образом.Первые два октета заголовка содержат флаги GRE:C, Checksum Present. 1 бит....
  • Конфигурирование GRE туннелей в TCP/IP
    Рис. 1Туннельные линки являются poin-to-point линками. Туннелирование состоит из следующих трех компонентов:Протокол-"пассажир", который инкапсулируется в туннель, например AppleTalk, CLNS, IP, and IPX.Протокол носитель - протокол, который выполняет инкапсуляцию, например GRE, IP-in-IP, L2...
  • Протокол SSTP
    VPN Virtual private network (виртуальная частная сеть), или также называемая VPN, это сеть которая собирается с использованием общих элементов для подключения к узлам, что позволяет пользователям создавать сети для передачи данных. Системы используют шифрование и различные другие меры безопаснос...
  • Протокол SNMP
    Протокол SNMP Протокол SNMP появился в конце 1980-х гг., когда возникла необходимость управлять растущими сетями и проверять определенные условия функционирования данных сетей. Большинство протоколов в TCP/IP построены на основе модели клиент/сервер. За исключением небольших различий в плане опреде...