Sisu
- TCP-protokolli põhialused: kuidas SYN-i üleujutus töötab
- Pole vigu ega stressi - teie samm-sammuline juhend elumuutva tarkvara loomiseks ilma oma elu hävitamata
- Slowloris
- SYN-i üleujutuste rünnakute reageerimise taktikad
- Olge valvas, kaitske rünnakute eest
Allikas: Aleutie / Dreamstime.com
Ära võtma:
Umbes 65 535 TCP-porti, mis tehakse kättesaadavaks ühel IP-aadressil, on lihtne mõista, miks Internetis on nii palju turvanõudeid. Kuid kuigi SYN-rünnakud pole peaaegu uued, on neid siiski raske lahendada.
Aktsepteeritava riski tase ilmneb siis, kui mõni ettevõte avab veebisaidi ja paneb selle Internetti, avades uksed kõigile külastajatele. Mida mõned ettevõtted ei pruugi mõista, on see, et mõned riskid on ületamatud, isegi massiivsete ettevõtete ja valitsusasutuste jaoks. 90ndate keskpaigast kuni lõpuni peeti ühte tüüpi rünnakuid hävitavateks kõrvaltoimeteks kõiki, kuid mitte lahendamatuid - ja see on endiselt probleemiks tänapäevani.
Seda tuntakse SYN-i üleujutusrünnakuna. Umbes 65 535 TCP-porti tehakse kättesaadavaks ühel IP-aadressil, mis kõik võivad jätta tarkvara, mis kuulab neid sadamaid haavatavatena, on lihtne mõista, miks Internetis on nii palju turvanõudeid. SYN-i üleujutused sõltuvad asjaolust, et veebiserverid reageerivad nähtavasti õigustatud veebilehtede taotlustele, olenemata sellest, kui palju taotlusi esitatakse. Kui ründaja esitab palju taotlusi, mis jätavad veebiserveri seotuks ja ei suuda tõeliselt õigustatud taotluste edastamist jätkata, ründab katastroof ja veebiserver ebaõnnestub. Põhitasemel toimivad SYN-i üleujutused just nii. Siin on hea ülevaade mõningatest kõige tavalisematest SYN-rünnakute tüüpidest ja sellest, mida võrgu- ja süsteemiadministraatorid saavad nende leevendamiseks teha.
TCP-protokolli põhialused: kuidas SYN-i üleujutus töötab
Tänu ilmsete leevendusmeetodite ilmselgele puudumisele kartsid veebiettevõtted SYNi rünnakuid õigustatult, kui nad looduses esmakordselt tuvastati.
Olles kindlalt teenuste keelamise rünnakute all, muutis SYN-i üleujutused süsteemidele ja võrguadministraatoritele kõige pettumust valmistavaks asjaolu, et vähemalt näib, et rünnakuliiklus on end õigustatud liikluseks.
Selle rünnaku maitse lihtsuse - mõned võivad öelda, et ilu - hindamiseks peame pisut põgusalt uurima protokolli, mis vastutab olulise osa interneti liikluse eest, edastuskontrolli protokolli (TCP).
Sellise rünnaku eesmärk on hõlpsalt leotada kõik veebiserverite saadaolevad ressursid, veendes serverit selle andmete esitamisel seaduslikele külastajatele. Selle tulemusel keelatakse serverite õigustatud kasutajatel teenus.
Miljonite muude veebifunktsioonide hulgas veebisaitide ja säutsude vaatamiseks kasutatavad TCP-ühendused käivitatakse nn kolmesuunalise käepigistusega. Käepigistuse eeldus on lihtne ja kui mõlemad pooled on ühendatud, võimaldab see keerukas protokoll selliseid funktsioone nagu piirata serveri saajale antavate andmete kiirust, lähtudes sellest, kui palju ribalaiust vastuvõtjal on.
Alustades külastajalt või kliendilt saadetud SYN-paketiga (mis tähistab sünkroonimist) reageerib server seejärel tõhusalt SYN-ACK-paketiga (või sünkroonima-kinnitama), mida seejärel kinnitab külastaja, milleks on ACK-pakett oma vastuseks. Sel hetkel on ühendus loodud ja liiklus võib vabalt liikuda.
Pole vigu ega stressi - teie samm-sammuline juhend elumuutva tarkvara loomiseks ilma oma elu hävitamata
Te ei saa oma programmeerimisoskusi parandada, kui keegi tarkvara kvaliteedist ei hooli.
SYN-i üleujutusrünnak hoiab sellest sujuvast teabevahetusest mööda, kui ACK-d serverisse ei saadeta pärast selle algse SYN-ACK-i saatmist. Kas pakett on täielikult välja jäetud või võib vastus sisaldada eksitavat teavet, näiteks võltsitud IP-aadress, sundides serverit proovima ja siis täielikult teise masinaga ühenduse looma. See on lihtne, kuid surmav kõigi TCP-d austavate masinate jaoks.
Slowloris
Selle rünnakumeetodi ühte varianti, mis tegi pealkirjad paar aastat tagasi, nimetati Slowloriseks. Slowlorise sait kirjeldab end kui "väikese ribalaiusega, kuid ahne ja mürgist HTTP-klienti!" Sait teeb kindlasti murettekitavat lugemist ja kirjeldab, kuidas üks masin võib "teise masina veebiserveri väikseima ribalaiuse ja kõrvaltoimetega sõltumatutele teenustele ja pordidele maha võtta".
Seejärel selgitatakse, et selline rünnak ei ole tegelikult TCP teenuse keelamise rünnak. Ilmselt on see tingitud sellest, et luuakse täielik TCP-ühendus, kuid mis veelgi olulisem - veebilehe serverist alla tõmbamiseks tehakse ainult osaline HTTP-taotlus. Üks kõrvaltoime on see, et veebiserver võib muude rünnakutega võrreldes väga kiiresti oma normaalsesse tööolekusse naasta.
Rünnakute kavandamise sama patuse korral võib see funktsioon lubada ründajal lühikese aja jooksul kasutusele võtta mõne muu lühiajalise rünnaku, kui server võitleb SYN-i üleujutusega ja naaseb seejärel serverile nagu ta oli enne, ilma märgatakse.
SYN-i üleujutuste rünnakute reageerimise taktikad
Mõne kõrgetasemelise saidi sihtimisega sai selgeks, et vaja on viivitamatult leevendamise tehnikat. Probleem on selles, et serveri muutmine selliste rünnakute jaoks täiesti läbimatuks on keeruline. Mõelge näiteks, et isegi ühenduste katkemiseks tuntud asjad kulutavad serveriressursse ja võivad põhjustada muid peavalusid.
Linuxi ja FreeBSD arendajad vastasid kerneli lisamisele, mida nimetatakse SYN-küpsisteks, mis on pikka aega olnud osa varude tuumast. (Kuigi üllataval kombel ei võimalda kõik tuumad neid vaikimisi.) SYN-küpsised töötavad koos TCP-järjenumbritega. Neil on viis kasutada eelistatud järjenumbreid, kui ühendus algselt luuakse, ja leevendada ka üleujutusi, kukutades järjekorda SYN-pakette. See tähendab, et nad saavad vajaduse korral hakkama veel paljude ühendustega. Selle tulemusel ei tohiks järjekord kunagi üle jõu käia - vähemalt teoorias.
Mõned vastased räägivad SYN-küpsiste vastu avalikult, kuna nad muudavad TCP-ühendusi. Selle tulemusel on SYN-i küpsiste puuduste kõrvaldamiseks kasutusele võetud TCP küpsistehingud (TCPCT).
Olge valvas, kaitske rünnakute eest
Kuna Internetis avastatakse ja kasutatakse seejärel üha enam rünnakuvektoreid, on oluline olla kogu aeg valvas. Teatud tüüpi rünnakud sunnivad nii heade kavatsustega kui ka pahatahtlike kavatsustega inimesi otsima uusi meetodeid süsteemide kaitsmiseks ja ründamiseks. Üks on kindel, et lihtsatest, kuid keerukatest rünnakutest, näiteks SYN-i üleujutustest õpitud õppetunnid hoiavad turbeuurijaid veelgi paremini kursis sellega, kuidas protokollid ja tulemüüritarkvara peaksid tulevikus arenema. Võib ainult loota, et sellest on kasu kogu Internetile.