SYN-Flooding

SYN-Flooding
TCP-Handshake

Ein SYN-Flood ist eine Form von Denial of Service-Attacken auf Computersysteme. Der Angriff verwendet den Verbindungsaufbau des TCP-Transportprotokolls, um einzelne Dienste oder ganze Computer aus dem Netzwerk unerreichbar zu machen.

Funktionsweise

Wenn ein Client eine TCP-Verbindung zu einem Server aufbauen möchte, führen der Client und der Server einen so genannten Dreiwege-Handshake durch, um die Verbindung einzurichten. Der normale Ablauf, wie in der Abbildung zu sehen, ist dabei folgender:

  1. Client an Server: Paket mit Flag SYN, Abgleichen (synchronize).
  2. Server an Client: Paket mit Flags SYN, ACK, Abgleichen bestätigt (synchronize acknowledge).
  3. Client an Server: Paket mit Flag ACK, Bestätigt (acknowledge); Die Verbindung ist nun hergestellt.

Ein böswilliger Client kann die letzte ACK-Nachricht unterschlagen. Der Server wartet einige Zeit auf ein entsprechendes Paket, da es ja auch aufgrund von Verzögerungen verspätet eintreffen könnte.

Während dieser Zeit werden sowohl die Adresse des Clients als auch der Status der noch halb offenen Verbindung im Speicher des Netzwerkstacks vorrätig gehalten, um die Verbindung später vollständig etablieren zu können. Bei allen Betriebssystemen belegt diese so genannte halb offene Verbindung Ressourcen auf dem Server. Da Ressourcen immer begrenzt sind, ist es durch „Flutung“ des Servers mit SYN-Nachrichten möglich, alle diese Ressourcen aufzubrauchen. Sobald dies der Fall ist, können zum Server keine neuen Verbindungen mehr aufgebaut werden, was zur Zugriffsverweigerung (Denial of Service) führt. Die Tatsache, dass SYN-Pakete sehr klein sind und auch ohne großen Rechenaufwand erzeugt werden können, macht diesen Angriff besonders unausgewogen. Der Verteidiger benötigt mehr Ressourcen zur Abwehr als der Angreifer für den Angriff selbst.

Betroffene Ressourcen

Zu den Ressourcen, die betroffen sein können, gehören vor allem die Tabelle, in der die TCP-Verbindungen gespeichert werden sowie – durch sekundäre Effekte – der Hauptspeicher des Servers. Die sogenannte Backlog queue des TCP-Stacks, die im Falle von zu vielen gleichzeitig aktiven Verbindungen als Warteschlange einspringt, benötigt ebenfalls Speicher. Wenn dem angegriffenen Server der Speicher ausgeht, stürzt er in vielen Fällen ganz oder teilweise ab.

Gegenmaßnahmen

Mögliche Maßnahmen gegen SYN-Floods:

  • Der SYN-Cookies-Mechanismus
  • Eine Echtzeitanalyse des Angriffs durch eine intelligente Firewall

Gegen Distributed-Denial-of-Service-Angriffe schützen diese Maßnahmen jedoch unter Umständen nicht.


Wikimedia Foundation.

Игры ⚽ Поможем сделать НИР

Schlagen Sie auch in anderen Wörterbüchern nach:

  • SYN flooding — SYN flood Le SYN flood est une attaque informatique visant à atteindre un déni de service. Elle s applique dans le cadre du protocole TCP et consiste à envoyer une succession de requêtes SYN vers la cible. Sommaire 1 Principe 2 Historique 3… …   Wikipédia en Français

  • Syn flood — Le SYN flood est une attaque informatique visant à atteindre un déni de service. Elle s applique dans le cadre du protocole TCP et consiste à envoyer une succession de requêtes SYN vers la cible. Sommaire 1 Principe 2 Historique 3 Contre mesures …   Wikipédia en Français

  • Syn cookie — Les SYN cookies (syncookies) sont des valeurs particulières des numéros de séquences initiales générés par un serveur (ISN: Initial Sequence Number) lors d une demande de connexion TCP. La technique mise en œuvre permet notamment de se défendre… …   Wikipédia en Français

  • SYN-флуд — SYN флуд  одна из разновидностей сетевых атак типа отказ от обслуживания, которая заключается в отправке большого количества SYN запросов (запросов на подключение по протоколу TCP) в достаточно короткий срок (RFC 4987). Согласно процессу… …   Википедия

  • SYN flood — A SYN flood is a form of denial of service attack in which an attacker sends a succession of SYN requests to a target s system [RFC 4987 TCP SYN Flooding Attacks and Common Mitigations] .When a client attempts to start a TCP connection to a… …   Wikipedia

  • SYN flood — Le SYN flood est une attaque informatique visant à atteindre un déni de service. Elle s applique dans le cadre du protocole TCP et consiste à envoyer une succession de requêtes SYN vers la cible. Sommaire 1 Principe 2 Historique 3 Contre mesures …   Wikipédia en Français

  • SYN cookie — Les SYN cookies (syncookies) sont des valeurs particulières des numéros de séquences initiales générés par un serveur (ISN: Initial Sequence Number) lors d une demande de connexion TCP. La technique mise en œuvre permet notamment de se défendre… …   Wikipédia en Français

  • Flooding (Informatik) — Flooding (engl. überfluten) bezeichnet das Überschwemmen eines Netzwerkes mit Paketen. Dies kann gewollt sein, wie im Fall von OSPF, das mit Hilfe dieser Technik Informationen an alle angeschlossenen Rechner übermittelt, oder Usenet, in dem die… …   Deutsch Wikipedia

  • flooding — noun a technique used in behavior therapy; client is flooded with experiences of a particular kind until becoming either averse to them or numbed to them • Syn: ↑implosion therapy • Derivationally related forms: ↑flood • Hypernyms: ↑behavior… …   Useful english dictionary

  • Syncookie — SYN cookie Les SYN cookies (syncookies) sont des valeurs particulières des numéros de séquences initiales générés par un serveur (ISN: Initial Sequence Number) lors d une demande de connexion TCP. La technique mise en œuvre permet notamment de se …   Wikipédia en Français

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”