SYN Flood

 Клиент генерирует SYN-пакет, запрашивая новую сессию у сервера. Поскольку TCP сессия открыта (алгоритм “трехэтапного рукопожатия TCP” исполнен), хост будет отслеживать и обрабатывать каждую пользовательскую сессию, пока она не будет закрыта. Во время SYN Flood атакуемый сервер с большой скоростью получает поддельные SYN-запросы, содержащие поддельный IP-адрес источника. SYN-флуд поражает сервер, занимая всю память таблицы соединений (Transmission Control Block (TCB) table), обычно используемую для хранения и обработки входящих пакетов. Это вызывает критическое падение производительности и, как итог, отказ в работе сервера.


Существует несколько механизмов защиты, которые могут частично обезопасить от SYN Flood:


Ограничение микро-блоков: являясь администратором, Вы можете ограничить размер памяти сервера для каждого водящего SYN-пакета;

SYN-куки (SYN-Cookie): используя криптографическое хэшировние, сервер отправляет SYN-ACK ответ с номером последовательности, которая составлена из IP-адреса клиента, номера порта и другой уникальной информации, идентифицирующей клиента. Когда клиент отвечает, этот хэш уже включен в ACK-пакет. Далее сервер проверяет ACK и, в случае успешной проверки, ему остается только выделить память для соединения. Для использования этого механизма необходимо, чтобы его поддерживали все сервера, участвующие в обмене трафиком;

Настройка стэка: в качестве одной из временных мер можно настроить стэк TCP, уменьшив тайм-аут освобождения памяти, выделенной для соединения, а также тайм-аут блокировки входящих соединений. Но у этих настроек могут быть побочные эффекты в виде потери части легитимных соединений из-за задержек и нестабильных каналов.


Комментарии

Отправить комментарий

Популярные сообщения из этого блога

Облако AWS отразило самую крупную DDoS-атаку в истории

Изображение
  В Amazon  рассказали  о том, что в середине февраля служба AWS Shield смогла справиться с крупнейшей из когда-либо зарегистрированных DDoS-атак . Тогда поток сгенерированных ботнетом данных достиг 2,3 терабит в секунду. Атака произошла на клиента AWS, которого не раскрывают. В результате для персонала AWS Shield ввели режим повышенной готовности, который действовал три дня. В атаке задействовали взломанные веб-серверы CLDAP (Connection-less Lightweight Directory Access Protocol) — альтернативу устаревшему LDAP. Их используют для подключения к доступным в сети каталогам для поиска и модификации хранящейся внутри информации. Впервые CLDAP  использовали  при атаках в конце 2016 года. До этого момента крупнейшей  называли   DDoS-атаку с объемом трафика 1,7 Тб/с. Атака произошла в марте 2018 года, ее остановила NETSCOUT Arbor. Тогда злоумышленники использовали сеть из скомпрометированных серверов Memcached. За последние годы было зарегистрировано несколько относительно крупных DDoS-атак
Далее...

stormwall

Изображение
Абузоустойчивый хостинг - antiddos.biz Большую известность в специфических сообществах пользователей набирает так и это факт абузоустойчивый хостинг. В этой статье вкратце и основательней зайдем в корень работы и попытаемся понять что это за услуга и кому она может быть полезна. В общем термине - абузоустойчивый хостинг это хостинг который не воспринимает различные негативные отзывы и подходит для существования различного содержимого сайта. В том числе интернет контента предназначенного на очевидно преступные сферы деятельности. Как вы догадались, оказывать такую услугу также относят под статьи уголовного законодательного акта. Абузоустойчивым хостингом чаще всего пользуются преступники и посредством подобных серверов, занимаются различной противозаконной активностью. Действие абузоустойчивого хостинга от компании antiddos.biz
Далее...

DDoS-атака — что это такое?

  DDoS-атака (Distributed Denial of Service attack) - комплекс действий, способный полностью или частично вывести из строя интернет-ресурс. В качестве жертвы может выступать практически любой интернет-ресурс, например веб-сайт, игровой сервер или государственный ресурс. На данный момент практически невозможна ситуация, когда хакер в одиночку организует DDoS-атаку. В большинстве случаев злоумышленник использует сеть из компьютеров, зараженных вирусом. Вирус позволяет получать необходимый и достаточный удаленный доступ к зараженному компьютеру. Сеть из таких компьютеров называется ботнет. Как правило, в ботнетах присутствует координирующий сервер. Решив реализовать атаку, злоумышленник отправляет команду координирующему серверу, который в свою очередь дает сигнал каждому  боту  начать выполнение вредоносных сетевых запросов.
Далее...