De acuerdo

Conoce los mecanismos de ataque SYN Flood Attack y cómo defendernos utilizando la solución Anti-DDos 1800

146 0 0 0

Los ataques de inundación SYN o SYN flood attacks utilizan direcciones IP de origen falsificadas. El atacante envía paquetes SYN masivos con direcciones IP o puertos de origen cambiantes para agotar los recursos de la red o los recursos del host de destino. El dispositivo anti-DDoS verifica las direcciones IP de origen para identificar los ataques de inundación SYN.

 

Mecanismo de ataque

Un atacante envía paquetes SYN con direcciones IP de origen falsificado al host de destino. Después de recibir estos paquetes, el host responde con paquetes SYN-ACK. Sin embargo, el host no recibe paquetes ACK. Como resultado, el host de destino mantiene una gran cantidad de conexiones medio abiertas hasta que se agota el tiempo de espera. Estas conexiones medio abiertas agotan los recursos del host. Por lo tanto, el host no puede establecer conexiones TCP. La Figura 1 muestra el mecanismo de los ataques de inundación SYN.

 

Figura 1 ataque de inundación SYN


a2


Mecanismo de defensa (contra ataques de fuentes falsificadas)

El dispositivo Anti-DDoS recopila estadísticas sobre la velocidad de los paquetes SYN por dirección de destino y habilita la autenticación de origen cuando la velocidad de los paquetes SYN supera un umbral especificado.

 

Autenticación de fuente básica (Error-seq)

La Figura 2 muestra el proceso de autenticación de origen en el dispositivo anti-DDoS.

 

Figura 2 Autenticación de origen en defensa de ataque de inundación SYN


a3


1. Después de recibir un paquete SYN, el dispositivo anti-DDoS envía un paquete SYN-ACK a la dirección IP de origen del paquete SYN.

 

2. El dispositivo anti-DDoS verifica el paquete de respuesta del paquete SYN-ACK para validar la dirección IP de origen.

 

Si el dispositivo anti-DDoS no recibe ningún paquete de respuesta, el paquete SYN es un paquete de ataque y el dispositivo anti-DDoS lo descarta.

 

Si el dispositivo anti-DDoS recibe un paquete de respuesta, verifica si el paquete de respuesta es la respuesta del paquete SYN-ACK. En caso afirmativo, el dispositivo anti-DDoS incluye en la lista blanca la dirección IP de origen y reenvía todos los paquetes SYN desde esta dirección IP de origen antes de que caduque la entrada de la lista blanca. Puede establecer un tiempo de vencimiento para las entradas de la lista blanca.


Para los paquetes SYN cuyas direcciones IP de origen no están en la lista blanca, el dispositivo anti-DDoS continúa realizando la autenticación de origen.


a4


Autenticación de fuente avanzada (Right-seq)

La Figura 3 muestra el proceso de autenticación de fuente avanzada en el dispositivo anti-DDoS.

 

Figura 3 Autenticación de fuente avanzada en defensa de ataque de inundación SYN

 

a5


Mecanismo de defensa (contra ataques de direcciones IP de origen real)

Limitación de velocidad para paquetes de direcciones IP de origen real

Después de que las direcciones IP de origen se incluyan en la lista blanca, la recopilación de estadísticas y el análisis de las direcciones IP de orígenes reales continúan realizándose. La limitación de velocidad se implementa en paquetes de direcciones IP de orígenes anormales para evitar ataques iniciados por fuentes reales.

 

SYN-Ratio anomaly rate limiting: la relación entre el paquete SYN y el paquete SYN y el paquete ACK se obtiene en función de la fuente. Cuando la proporción excede el Umbral de Proporción de Relación SYN dentro del período de tiempo configurado, la dirección IP de origen se identifica como anormal y la velocidad de los paquetes SYN de esta fuente dentro del tiempo de la unidad está restringida. El mecanismo detallado es el siguiente:


1. En una duración de detección configurada, la relación de paquete SYN a paquete SYN y paquete ACK se obtiene en función de las direcciones IP de orígenes incluidos en la lista blanca. Si no hay un paquete SYN o ACK en esta duración, la relación de paquete SYN a paquete ACK, la cantidad de paquete SYN y la cantidad de paquete ACK no se actualizan. Esta duración de detección no es válida. La relación de paquete SYN a paquete ACK en la última duración de detección válida se usa para determinar si existe un ataque y si la limitación de velocidad continuará.

 

2. Cuando la relación SYN es anormal, se requiere limitación de velocidad.


a6


Saludos.

 

FIN

Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums

 

#ComunidadEnterprise

#OneHuawei


  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Comunidad Huawei Enterprise
Comunidad Huawei Enterprise
Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.