Заявка он-лайн

SYN, RST, HTTP, TSP flood (флуд) атака: «подводные камни» и опасности. Защита от flood (флуд) атак

Безопасность – это не только эффективная защита, это ещё и знания. Особенно это касается виртуальной среды, в которой мы, так или иначе, присутствуем. В последнее время всё труднее и труднее противостоять непрерывным хакерским атакам. Прежде всего, это касается тех людей, чья коммерческая деятельность осуществляется на просторах Интернета. Конечно, благодаря полезным советам и статьям, собственники ресурсов стараются использовать принципиально новые и эффективные средства защиты, однако при нехватке знаний от злоумышленников всё равно не удастся защититься. Для того чтобы рассмотреть все инструменты обеспечения безопасности сайта, одной статьи, естественно, не хватит, поэтому, целесообразно остановиться на одной из тех опасностей, с которой приходится встречаться достаточно часто. Итак, сегодня мы рассматриваем такое явление, как флуд атака.

Flood атака, как правило, подразделяется на определённые виды. Правда, остановимся мы сегодня лишь на одном из них, а именно, на явлении «SYN flood атака». Это пакетное нападение, которое при затрате минимальных усилий со стороны хакера поглощает максимальное количество ресурсов. Такая флуд атака на сегодняшний день является наиболее опасной, а потому грамотная защита от неё просто необходима всем и каждому. Основной её особенностью является тот факт, что указанная флуд атака фальсифицирует ТСР-подключения с фальшивых адресов, на которые атакуемый компьютер не способен ответить. Это и приводит к падению сервера.

К несчастью, такое явление как SYN flood атака является трудно обнаруживаемым. Дело в том, что опасные пакеты тяжело отфильтровать. Можно, конечно, уменьшить количество повторных ответов для машины, однако, если в процессе применения такого метода Вы установите чересчур агрессивные параметры, будет игнорироваться и отвергаться часть подключений, которые являются законными.

Как видите, основной задачей, которую преследует SYN flood атака – это сделать так, чтобы пользователям было отказано в доступе к серверу. Чтобы понять, как работает подобная флуд атака, разберём механизм её действия. Примерно процесс происходит следующим образом. SYN клиент посылает серверу SYN-пакеты и, таким образом, устанавливает с ним связь. Когда сервер получает запрос, он отсылает подтверждение на указанный фальшивый адрес в виде SYN/АСК пакета. Клиент получает это подтверждение и отвечает серверу АСК-пакетом. В чём смысл подобных действий? Если говорить коротко, то такая SYN flood атака предусматривает, что машина будет атакована множеством программ-зомби, которые находятся на разных серверах.

Часто хакеры для проведения подобной атаки применяют роутеры или «отражатели». Хакер может распределить по нескольким роутерам SYN flood пакеты и атаковать машину. При этом SYN flood атака, которая осуществляется подобным образом, не предусматривает сохранения роутерами отчётов о пакетах с SYN запросами. Благодаря этому свойству, флуд атаку чрезвычайно сложно отслеживать.

Теория – это, конечно, хорошо, поскольку следует знать о самом механизме действия SYN flood атаки, однако практическая реализация защиты машины от хакеров тоже является немаловажной. Что же делать, чтобы флуд атака была вовремя обнаружена?

• Стандартный таймаут.
  Этот метод предусматривает удаление из буфера полуоткрытых соединений, за которыми обычно и прячется SYN flood атака. Если такую функцию отключить, то даже малое количество SYN пакетов (примерно 6 за 1 секунду) могут вывести службу из нормального ритма работы на 99 процентов!
• Неограниченный буфер полуоткрытых соединений.
  Если флуд атака имеет место посредством отправления большого количества пакетов, то атакуемый сервер способен эти пакеты отражать и ответить машине хакера трафиком, в несколько раз большим, чем отсылаемые SYN пакеты. Правда, такой метод подходит только для крупных серверов с мощными машинами. Для них очередь полуоткрытых соединений размером в 1 Гб не будет являться слишком большой, а именно столько требуется для успешного противостояния хакерам.
• Проведение очистки старых полуоткрытых соединений.
  Если буфер переполнен, следует удалить самые старые соединения. Таким образом, можно перейти к предыдущему варианту, посредством которого флуд атака будет отвергнута.
• Применение SYN COOKIE.

Когда буфер истощён, полученная информация попросту отсылается обратно на адрес клиента, который производил запрос. Если клиент – это не робот, а человек, он возвращает её обратно. Если же флуд атака проводилась при помощи машины, то запрос теряется. Конечно, несмотря на то, что сегодня флуд атака является предметом для изучения её со стороны многих учёных, её всё так же трудно распознать и устранить. Дело в том, что та же SYN flood атака неизбежна для многих пользователей, поскольку установка соединений – это элемент, без которого появление сетевого трафика не является возможным. SYN flood атака может быть выявлена путём изменения повторных ответов SYN/АСК сервера, но при этом имеется риск того, что в других соединениях Вам также будет отказано.

С целью профилактики флуд атаки специалисты советуют применять фильтрацию и блекхолинг, вовремя устранять уязвимости и «дыры» в системах. В любом случае, следует помнить, что SYN flood атака может быть очень опасной, поэтому, не жалейте денег на приобретение специальных программ по обеспечению безопасности, пользуйтесь услугами грамотных специалистов, и такое явление, как флуд атака, Вас не побеспокоит!