syn_flood_ddos_attack

SYN Flood Attack là gì?

Trong khái niệm SYN Flood, một máy chủ mục tiêu, tường lửa (thường giả mạo và thường xuyên nhất từ một botnet) các gói tin SYN tốc độ cao có thể áp đảo nạn nhân bằng cách tiêu thụ tài nguyên của nó để xử lý các gói tin đến.

Trong hầu hết các trường hợp nếu một máy chủ được tường lửa bảo vệ, tường lửa sẽ trở thành nạn nhân của SYN và tự khởi động trạng thái của nó, ảnh hưởng tất cả các kết nối tốt ngoại tuyến hoặc thậm chí tệ hơn nữa là khởi động lại.

Một số tường lửa để có thể duy trì và hoạt động sẽ bắt đầu loại bỏ tất cả lưu lượng truy cập tốt và xấu đến máy chủ đích bị tấn công. Một số tường lửa thực hiện quy trình Thả ngẫu nhiên sớm chặn cả lưu lượng truy cập tốt và xấu. SYN flood thường được sử dụng để gây quá tải tất cả băng thông mạng và tác động tiêu cực các bộ định tuyến, tường lửa, IPS / IDS, SLB, WAF cũng như các máy chủ nạn nhân.

syn_flood_ddos_attack

Một cuộc tấn công DDoS SYN-flood (xem hình kèm theo) tận dụng quy trình bắt tay ba chiều TCP (Transmission Control Protocol) bằng cách tràn nhiều cổng TCP trên hệ thống đích bằng các thông điệp SYN (đồng bộ hóa) để khởi tạo kết nối giữa hệ thống nguồn và hệ thống đích.

Hệ thống đích đáp ứng với một thông báo SYN-ACK (đồng bộ hóa xác nhận) cho mỗi tin nhắn SYN mà nó nhận và tạm thời mở một cổng truyền thông cho mỗi kết nối đã thử trong khi nó đợi một thông báo ACK (xác nhận) cuối cùng từ nguồn đáp ứng với mỗi tin nhắn SYN-ACK. Nguồn tấn công không bao giờ gửi tin nhắn ACK cuối cùng và do đó kết nối không bao giờ được hoàn thành. Kết nối tạm thời cuối cùng sẽ hết thời gian và bị đóng, nhưng không phải trước khi hệ thống đích bị choáng ngợp với các kết nối không đầy đủ.

XEM THÊM:  Ứng dụng YouTube Kids mới sẽ có người giám sát để bảo vệ các cục cưng của bạn

SYN Flood Attack

SYN Flood là phương pháp tấn công DDoS lớp 4 khai thác khả năng kết nối TCP của máy chủ. Thông thường, máy khách và máy chủ thiết lập kết nối TCP bằng cách bắt tay “ba chiều”:

  • Máy khách yêu cầu kết nối với máy chủ và gửi một tin nhắn SYN (đồng bộ hóa)
  • Máy chủ nhận thông báo SYN và gửi lại một tin nhắn SYN-ACK (đồng bộ hóa xác nhận)
  • Khách hàng phản hồi lại với một ACK (thông báo xác nhận), thiết lập kết nối

Trong một cuộc tấn công SYN, máy khách của kẻ tấn công sẽ gửi nhiều tin nhắn SYN tới máy chủ đích. Máy chủ tạo một mục trong bảng kết nối của nó cho từng SYN nhận được và trả lời từng mục có thông báo SYN-ACK. Kẻ tấn công sau đó hoặc không gửi tin nhắn ACK, hoặc nhiều lần, giả mạo địa chỉ IP của máy khách trong các gói SYN sao cho các phản hồi SYN-ACK của máy chủ đích không bao giờ nhận được. Khi kẻ tấn công tiếp tục gửi tin nhắn SYN, các bảng kết nối của máy chủ mục tiêu trở nên đầy đủ và máy chủ không còn có thể trả lời bất kỳ yêu cầu kết nối nào nữa. Với tất cả các tài nguyên của nó được tiêu thụ, máy chủ đích không thể kết nối với các máy khách hợp pháp, tạo ra một sự từ chối dịch vụ (ddos).

XEM THÊM:  5 thứ làm giảm sóng WiFi trong nhà bạn

Trao đổi SYN-ACK bình thường

ddos_diagram_syn-flood-normal

SYN Flood

ddos_diagram_syn-flood-attack

About Quản trị viên

Quản trị viên
ITWorld Vietnam là trang thông tin công nghệ Tiếng Việt dành cho độc giả yêu thích công nghệ, đánh giá các sản phẩm, và tin tức công nghệ mới nhất.

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *