SYN flood - Безопасность

26.12.2003, 05:16

Добрый вечер, уважаемые
Вопрос
как защитить сервер apache от атаки SYN flood
SYN floodпроисходит, когда нападающий посылает на открытый порт хоста большое количество SYN пакетов с заведомо недостижимым адресом источника. Жертва отвечает пакетом SYN, ACK по недоступному IP и в результате трехступенчатая схема установления TCP соединения никогда не завершается. Очередь half-open сессий TCP со статусом SYN_RCVD хоста-жертвы быстро растет и достигает определенного предела. В итоге хост перестает принимать новые запросы на установление соединения(SYN пакеты).

Заранее благодарен

R!xon · 27.12.2003, 02:16

http://securitylab.ru/?ID=1671&Search_String=SYN

Shanker · 28.12.2003, 13:50

LEGIO.FR
Тема уже обсуждалась...
Пользуйся поиском: http://www.imho.ws/showthread.php?th...ght=syn+attack

Админам и модерам
Извиняюсь за оффтоп и прошу прикрыть тему!

ShooTer · 28.12.2003, 18:12

Shanker
В той теме ничего не описано было.Была дана только ссылка.

28.12.2003, 19:46

Наводнение SYN, возможно, наиболее эффективное пакетное нападение, пожирающее самое большое количество программных ресурсов при наименьших усилиях. Оно фальсифицирует TCP-подключения по вымышленным IP-адресам, на которые атакуемая машина не способна ответить.

Установление TCP-подключения требует обмена тремя пакетами: первый - SYN (для синхронизации битов), затем SYN/ACK - ответ на запрос web-сервера, и, наконец, ACK (для подтверждения возвращения сигнала). После этого связь устанавливается, но если существует задержка подключения, сервер посылает SYN/ACK несколько раз и ждет ответа, при этом необходимые ресурсы для осуществления подключения уже выделены. Период повторной посылки запроса может составлять более трех минут на каждое поддельное подключение, так что нетрудно сообразить, что даже скромное наводнение не имеющих ответа SYN-пакетов может сокрушить практически любой сервер за короткое время.

Поскольку такие пакеты - необходимая часть нормального сетевого трафика, злонамеренные SYN-пакеты трудно отфильтровать. Как правило, вы можете справиться с нападением, уменьшив число повторных SYN/ACK-ответов вашей машины, но при этом вы будете отвергать и часть законных подключений, если установите слишком агрессивные параметры.

Для того чтобы полностью изучить эффективность существующих методов борьбы с этой проблемой, эксперт компании TechMavens Росс Оливер провел эталонные тесты нескольких устройств, расположенных приблизительно в одинаковом ценовом диапазоне, используя самодельный комплект для моделирования SYN-атаки на них. Он сообщил о полученных результатах на симпозиуме защиты USENIX на прошлой неделе в Вашингтоне.

Для своих тестов он использовал распространенный сервер (Apache Red Hat 7.1), который при отсутствии защиты не мог обрабатывать новые подключения и "глухо зависал" при интенсивности атаки всего 100 SYN/sec.

Самые плохие показатели оказались у межсетевой защиты Cisco PIX и Checkpoint's Firewall-1, оборудованных модулем SYNDefender. Комплект Cisco вообще не показал никакого преимущества своего использования и выходил из строя при тех же 100 SYN/sec. Защита Firewall-1 показала лишь незначительно лучшие результаты, ломаясь (то есть, отказываясь от новых подключений) при каких-то 500 SYN/sec, которые легко могут быть получены при использовании двух или трех слабых источников SYN-атак.

Справедливо обратить внимание на то, что пользователи ожидают от межсетевой защиты хоть какой-то пользы, в этом случае непонятно, почему комплект Cisco выставлен на продажу для защиты от наводнений SYN, поскольку бесполезность этого комплекта после тестов становится очевидной.

Защита Netscreen-100 компании Netscreen справлялась лучше, разрушаясь только после 14,000 SYN/sec, что приблизительно соответствует атаке 28 мощных источников, при этом цена такой защиты соответствует двум предыдущим описанным моделям.

Только Top Layer AppSafe показала наилучшие результаты, не показывая никаких признаков сбоя даже при максимальной интенсивности атаки 22,000 SYN/sec, которой Оливер смог достичь на своих испытаниях. Цена такой защиты оказалась приблизительно один доллар на SYN во время максимально серьезной атаки, что кажется для нас довольно экономичным решением.

Журналисты поинтересовались у представителей Top Layer, какое, по их данным, максимальное значение интенсивности SYN-атаки, способно выдержать AppSafe. Деннис Англин, руководитель отдела маркетинга, объяснил, что в зависимости от настроек оборудования, цифры очень варьируются, и в настоящее время компания проводит эталонное тестирование для получения зафиксированного максимального значения. Фильтр способен отличить "нормальный", "подозрительный" и "вредный" трафик согласно настройкам, определяемым самим пользователем, и может быть сконфигурирован для блокирования вредных IP, время же повторного вызова можно конфигурировать от 15 секунд до нескольких недель.

(с) Михаил Козлов

04.01.2004, 19:12

Enable SYN-cookies (?) в ядре (?)

*helldomain* · 04.01.2004, 20:01

Ugu. Est takaya durka w yadre.

R!xon · 06.01.2004, 03:31

вот чо прочел на securitylab форуме:

Вот почитал я на досуге, что такое syn_cookie, а то везде пишут типа того, мол он не бросает связь а отсылает обратно пакет, и если не получает ответа, то тогда уже обрывает связь. А смысл такой. Что при отключённом syn_cookie, он при каждом приёме SYN, если порт открыт, создаёт TCB (Transmission Control Block). И отправляет пакет ACK, с ISN (Initial Sequence Number - начальный номер последовательности).А на это тратятся ресурсы. А при syn_cookie, он отправляет обратно пакет ISN, не случайным, а получаемым с помощью величины случайной(ну может и не совсем), функции MD5 от своего ключа, удалённого IP-адреса, протокола, порта (ну может что лишнее я написал, или не дописал). Ну так вот, и не создаёт никаких TCB. А если пакет придёт назад, то он сможет проверить его ISN, ведь у него ключ есть секретный. Если ISN правильный, то он создаёт TCB. Потому, что возвращение провильного ISN, означает, что ответ не сфабрикованный, а его действительно получил клиент. При конфигурировании ядра этот параметр по умолчанию отключён (MD5 ведь надо посчитать ешё, время потратить, ресурсы проца). Причём не просто отключён, а написано, включайте, если вы чуствуете, что на вас могут провести атаку.
Ещё, я перечитал главу из книги "Атака через интернет". Про атаку hijacking. Которую провёл Кевин Митник против компьютера Цутому Симомуры. Смысл был такой, что у компа симомуры была запущена служба rsh. И был доверенный хост (т.е команды с определённого IP выполнялись безоговорочно). Ну так вот, он конектился к компу Симомуры, определяя закон изменения ISN. Он был вполне конкретный, он изменялся со временем. Потом он за SYN-флудил другой комп Симомуры, с IP, которому доверяли. Чтобы тот не ответил пакетом с флагом RST (мол, что я не пытался соединится, какой SYN,ACK к чёрту?! Вот вам RST, на ваш SYN,ACK).
Затем он послал на комп Симомуры, на котором был запущен rshd, пакет SYN, и ответил на SYN,ACK (который он естественно в реальности не получил, он пошёл к настоящему компу, которому доверяли), а ответил он потому, что знал закон изменения ISN, и установил связь с компом, на котором запущен rsh, заместо компа, на которому доверяли. И таким образом мог выполнять произвольные комманды. Мой анализ показал(и их в книге), что и сейсас, ISN, изменяется далеко не случайно, и сейчас возможна такая атака с отключённым syn_cookie.

26.12.2003, 05:16	# 1
LEGIO.FR Guest Сообщения: n/a	SYN flood Добрый вечер, уважаемые Вопрос как защитить сервер apache от атаки SYN flood SYN floodпроисходит, когда нападающий посылает на открытый порт хоста большое количество SYN пакетов с заведомо недостижимым адресом источника. Жертва отвечает пакетом SYN, ACK по недоступному IP и в результате трехступенчатая схема установления TCP соединения никогда не завершается. Очередь half-open сессий TCP со статусом SYN_RCVD хоста-жертвы быстро растет и достигает определенного предела. В итоге хост перестает принимать новые запросы на установление соединения(SYN пакеты). Заранее благодарен

28.12.2003, 18:12	# 4
ShooTer Chameleon MOD Регистрация: 29.04.2003 Сообщения: 2 515	Shanker В той теме ничего не описано было.Была дана только ссылка. __________________ "That vulnerability is completely theoretical."

04.01.2004, 20:01	# 7
helldomain Administrator Регистрация: 13.05.2002 Сообщения: 11 227	Ugu. Est takaya durka w yadre. __________________ Осколки прошлого, как снег, закрутит ураган времён, В ушедший день для нас навек, обрушив мост, Оставив в наших душах след, тьма уплывёт за горизонт, И в чистом небе вспыхнет свет, свет новых звёзд.

27.12.2003, 02:16	# 2
R!xon Advanced Member Регистрация: 19.12.2002 Сообщения: 492	http://securitylab.ru/?ID=1671&Search_String=SYN

28.12.2003, 13:50	# 3
Shanker Banned Регистрация: 27.10.2002 Адрес: Питер Сообщения: 1 893	LEGIO.FR Тема уже обсуждалась... Пользуйся поиском: http://www.imho.ws/showthread.php?th...ght=syn+attack Админам и модерам Извиняюсь за оффтоп и прошу прикрыть тему!

28.12.2003, 19:46	# 5
WestFOX Guest Сообщения: n/a	Наводнение SYN, возможно, наиболее эффективное пакетное нападение, пожирающее самое большое количество программных ресурсов при наименьших усилиях. Оно фальсифицирует TCP-подключения по вымышленным IP-адресам, на которые атакуемая машина не способна ответить. Установление TCP-подключения требует обмена тремя пакетами: первый - SYN (для синхронизации битов), затем SYN/ACK - ответ на запрос web-сервера, и, наконец, ACK (для подтверждения возвращения сигнала). После этого связь устанавливается, но если существует задержка подключения, сервер посылает SYN/ACK несколько раз и ждет ответа, при этом необходимые ресурсы для осуществления подключения уже выделены. Период повторной посылки запроса может составлять более трех минут на каждое поддельное подключение, так что нетрудно сообразить, что даже скромное наводнение не имеющих ответа SYN-пакетов может сокрушить практически любой сервер за короткое время. Поскольку такие пакеты - необходимая часть нормального сетевого трафика, злонамеренные SYN-пакеты трудно отфильтровать. Как правило, вы можете справиться с нападением, уменьшив число повторных SYN/ACK-ответов вашей машины, но при этом вы будете отвергать и часть законных подключений, если установите слишком агрессивные параметры. Для того чтобы полностью изучить эффективность существующих методов борьбы с этой проблемой, эксперт компании TechMavens Росс Оливер провел эталонные тесты нескольких устройств, расположенных приблизительно в одинаковом ценовом диапазоне, используя самодельный комплект для моделирования SYN-атаки на них. Он сообщил о полученных результатах на симпозиуме защиты USENIX на прошлой неделе в Вашингтоне. Для своих тестов он использовал распространенный сервер (Apache Red Hat 7.1), который при отсутствии защиты не мог обрабатывать новые подключения и "глухо зависал" при интенсивности атаки всего 100 SYN/sec. Самые плохие показатели оказались у межсетевой защиты Cisco PIX и Checkpoint's Firewall-1, оборудованных модулем SYNDefender. Комплект Cisco вообще не показал никакого преимущества своего использования и выходил из строя при тех же 100 SYN/sec. Защита Firewall-1 показала лишь незначительно лучшие результаты, ломаясь (то есть, отказываясь от новых подключений) при каких-то 500 SYN/sec, которые легко могут быть получены при использовании двух или трех слабых источников SYN-атак. Справедливо обратить внимание на то, что пользователи ожидают от межсетевой защиты хоть какой-то пользы, в этом случае непонятно, почему комплект Cisco выставлен на продажу для защиты от наводнений SYN, поскольку бесполезность этого комплекта после тестов становится очевидной. Защита Netscreen-100 компании Netscreen справлялась лучше, разрушаясь только после 14,000 SYN/sec, что приблизительно соответствует атаке 28 мощных источников, при этом цена такой защиты соответствует двум предыдущим описанным моделям. Только Top Layer AppSafe показала наилучшие результаты, не показывая никаких признаков сбоя даже при максимальной интенсивности атаки 22,000 SYN/sec, которой Оливер смог достичь на своих испытаниях. Цена такой защиты оказалась приблизительно один доллар на SYN во время максимально серьезной атаки, что кажется для нас довольно экономичным решением. Журналисты поинтересовались у представителей Top Layer, какое, по их данным, максимальное значение интенсивности SYN-атаки, способно выдержать AppSafe. Деннис Англин, руководитель отдела маркетинга, объяснил, что в зависимости от настроек оборудования, цифры очень варьируются, и в настоящее время компания проводит эталонное тестирование для получения зафиксированного максимального значения. Фильтр способен отличить "нормальный", "подозрительный" и "вредный" трафик согласно настройкам, определяемым самим пользователем, и может быть сконфигурирован для блокирования вредных IP, время же повторного вызова можно конфигурировать от 15 секунд до нескольких недель. (с) Михаил Козлов

04.01.2004, 19:12	# 6
sasa001 Guest Сообщения: n/a	Enable SYN-cookies (?) в ядре (?)

06.01.2004, 03:31	# 8
R!xon Advanced Member Регистрация: 19.12.2002 Сообщения: 492	вот чо прочел на securitylab форуме: Вот почитал я на досуге, что такое syn_cookie, а то везде пишут типа того, мол он не бросает связь а отсылает обратно пакет, и если не получает ответа, то тогда уже обрывает связь. А смысл такой. Что при отключённом syn_cookie, он при каждом приёме SYN, если порт открыт, создаёт TCB (Transmission Control Block). И отправляет пакет ACK, с ISN (Initial Sequence Number - начальный номер последовательности).А на это тратятся ресурсы. А при syn_cookie, он отправляет обратно пакет ISN, не случайным, а получаемым с помощью величины случайной(ну может и не совсем), функции MD5 от своего ключа, удалённого IP-адреса, протокола, порта (ну может что лишнее я написал, или не дописал). Ну так вот, и не создаёт никаких TCB. А если пакет придёт назад, то он сможет проверить его ISN, ведь у него ключ есть секретный. Если ISN правильный, то он создаёт TCB. Потому, что возвращение провильного ISN, означает, что ответ не сфабрикованный, а его действительно получил клиент. При конфигурировании ядра этот параметр по умолчанию отключён (MD5 ведь надо посчитать ешё, время потратить, ресурсы проца). Причём не просто отключён, а написано, включайте, если вы чуствуете, что на вас могут провести атаку. Ещё, я перечитал главу из книги "Атака через интернет". Про атаку hijacking. Которую провёл Кевин Митник против компьютера Цутому Симомуры. Смысл был такой, что у компа симомуры была запущена служба rsh. И был доверенный хост (т.е команды с определённого IP выполнялись безоговорочно). Ну так вот, он конектился к компу Симомуры, определяя закон изменения ISN. Он был вполне конкретный, он изменялся со временем. Потом он за SYN-флудил другой комп Симомуры, с IP, которому доверяли. Чтобы тот не ответил пакетом с флагом RST (мол, что я не пытался соединится, какой SYN,ACK к чёрту?! Вот вам RST, на ваш SYN,ACK). Затем он послал на комп Симомуры, на котором был запущен rshd, пакет SYN, и ответил на SYN,ACK (который он естественно в реальности не получил, он пошёл к настоящему компу, которому доверяли), а ответил он потому, что знал закон изменения ISN, и установил связь с компом, на котором запущен rsh, заместо компа, на которому доверяли. И таким образом мог выполнять произвольные комманды. Мой анализ показал(и их в книге), что и сейсас, ISN, изменяется далеко не случайно, и сейчас возможна такая атака с отключённым syn_cookie.