[Dr.WoW] [No.14] ataque y defensa inundaciones SYN.

Pubilicado 2019-1-12 12:31:43 64 0 0 0

En el pasado, un gran obstáculo al que se enfrentan los atacantes es el ancho de banda insuficiente que evita que los atacantes envíen solicitudes en un gran número. Aunque los ataques como el ping de la muerte pueden bloquear un sistema operativo no actualizado usando una pequeña cantidad de paquetes, la mayoría de los ataques DoS requieren una gran cantidad de tráfico para bloquear a las víctimas, lo que no puede hacer un solo atacante. Es entonces cuando han surgido ataques de negación de servicio distribuidos (DDoS).

 

Los atacantes DDoS controlan hosts de zombies masivos para enviar una gran cantidad de paquetes de ataque insertados al objetivo. Como resultado, los enlaces están congestionados y los recursos del sistema se agotan en la red atacada, lo que hace que la víctima no pueda responder a los usuarios legítimos, como se muestra en la Figura 1-1.


Figura 1-1 ataque DDoS.


123014udivwpw0jgpwgcc5.png


Cuando hablamos de ataques DDoS, lo primero que viene a la mente es la inundación SYN. La inundación SYN es un ataque altamente técnico y ha sido un ataque DDoS importante durante bastante tiempo. El aspecto especial de la inundación SYN es que es difícil de prevenir basándose en las características de un paquete único o estadísticas de tráfico porque es demasiado "real" y "común".

 

Las inundaciones SYN tienen poderosas capacidades de variación y no han caído en el olvido en estos años gracias a los "excelentes genes":

 

·         Cada paquete se ve como "real" y no está mal formado.

·         El costo del ataque es bajo y se puede usar una pequeña sobrecarga para lanzar ataques masivos.

 

Durante el Año Nuevo Chino 2014, un IDC experimentó tres rondas de ataques consecutivos en unos días, y el ataque más prolongado duró tres horas y creó un volumen de tráfico de ráfaga de 160 Gbit / s. En función del objetivo y el tipo de análisis del ataque, se podría concluir que los ataques fueron coordinados por grupos de hackers para atacar al mismo objetivo. Los análisis de los paquetes capturados mostraron que el método de ataque principal era la inundación SYN.

 

Según un informe de operaciones de seguridad en 2013, los ataques DDoS aumentan cada año, y los ataques por inundación SYN representan el 31% de los ataques DDoS en 2013.

 

Obviamente, los ataques por inundación SYN siguen siendo rampantes en la actualidad. Conócete a ti mismo y conoce a tu enemigo, nunca serás derrotado. Echemos un vistazo al mecanismo de ataque de las inundaciones SYN.

 

1 mecanismo de ataque

Como su nombre indica, el ataque de inundación SYN está relacionado con el mensaje SYN de TCP. Por lo tanto, revisemos el proceso de reconocimiento de tres vías de TCP, como se muestra en la Figura 1-2.

Figura 1-2 Handshake de tres vías TCP


123023zxchgxovx9orgf98.png


1. Primer handshake: el cliente envía un mensaje SYN (sincronizar) al servidor.

 

2. Segundo handshake: después de recibir el mensaje SYN del cliente, el servidor responde con un mensaje SYN + ACK, lo que indica que se acepta la solicitud enviada por el cliente. Además, el servidor establece el número de confirmación en el mensaje SYN + ACK al ISN del cliente más 1.

 

3. Tercer handshake: después de recibir el mensaje SYN + ACK del servidor, el cliente envía un mensaje ACK al servidor para completar el protocolo de enlace de tres vías.

 

Si el cliente se vuelve defectuoso después de enviar el mensaje SYN, el servidor no recibirá el mensaje ACK después de enviar el mensaje SYN + ACK. En este caso, el handshake de tres vías no se puede completar. En esta situación, el servidor generalmente retransmite el mensaje SYN + ACK y espera un período de tiempo. Si el servidor no puede recibir un mensaje ACK del cliente dentro del período de tiempo especificado, se elimina la conexión incompleta.

 

Un atacante puede aprovechar el mecanismo de intercambio de tres vías TCP para lanzar ataques de inundación SYN. Como se muestra en 0, el atacante envía al servidor de destino una gran cantidad de mensajes SYN, cuyas direcciones IP de origen no existen o son inalcanzables. Por lo tanto, después de que el servidor responda con mensajes SYN + ACK, el servidor no recibirá ningún mensaje ACK, lo que provocará un gran número de conexiones medio abiertas. Estas conexiones medio abiertas agotan los recursos del servidor y hacen que el servidor no pueda responder a solicitudes legítimas.


Figura 1-3 ataques de inundación SYN


123035odzs8902n7z0n0cz.png


Los firewalls usualmente usan el proxy TCP o la autenticación de origen TCP para defenderse contra los ataques de inundación SYN.

 

2 TCP Proxy

El servidor de seguridad se puede implementar entre el cliente y el servidor como un proxy TCP para establecer un acuerdo de tres vías con el cliente en nombre del servidor y retransmitir la conexión TCP al servidor si se completa el acuerdo de tres vías.

Como se muestra en la Figura 1-4, el firewall recopila estadísticas sobre los paquetes SYN. Si la cantidad de paquetes SYN destinados a un destino alcanza el umbral preestablecido durante un período de tiempo específico, se activa el proxy TCP.

Una vez habilitado el proxy TCP, el firewall devolverá un mensaje SYN + ACK en nombre del servidor al recibir un mensaje SYN de un cliente. Si el cliente no puede devolver un mensaje ACK, el firewall considera que el mensaje SYN es anormal y mantiene la conexión medio abierta hasta que caduque la conexión medio abierta. Si el cliente devuelve un mensaje ACK, el firewall considera que el mensaje SYN es normal y establece un acuerdo de tres vías con el cliente. Los paquetes TCP posteriores del cliente se enviarán al servidor. El proceso de proxy TCP es transparente tanto para el cliente como para el servidor.


Figura 1-4 proxy de TCP


123046z766c62ay2ajjv1c.png


Durante el proxy TCP, el firewall envía un proxy y responde a cada mensaje SYN recibido y mantiene las conexiones medio abiertas. Por lo tanto, si una gran cantidad de mensajes SYN se envían al firewall, el firewall debe tener un alto rendimiento para manejarlos. En el proxy TCP, el firewall está utilizando su propio recurso para manejar las conexiones medio abiertas. Los firewalls suelen tener un mayor rendimiento que los servidores. Por lo tanto, los firewall pueden manejar los ataques intensivos de recursos.

 

Sin embargo, cuando las rutas de reenvío y retorno son diferentes, el proxy TCP no se puede usar porque los paquetes destinados desde el cliente al servidor pasan a través del firewall, pero los paquetes destinados desde el servidor al cliente no lo hacen. Por lo tanto, el mensaje SYN + ACK devuelto por el servidor al cliente no pasa a través del firewall durante el protocolo de enlace de tres vías.

 

En este caso, el proxy TCP no se puede utilizar para evitar la inundación SYN. Sin embargo, las diferentes rutas de envio y retorno son escenarios comunes. ¿Cómo podemos prevenir los ataques de inundación SYN en estos escenarios?

 

No te preocupes Tenemos otra medida: autenticación de origen TCP.

 

3 autenticacion de fuente TCP

La autenticación de origen TCP puede evitar ataques de inundación SYN cuando las rutas de reenvío y retorno son diferentes. Por lo tanto, en comparación con el proxy TCP, la autenticación de origen TCP se usa más ampliamente.

Como se muestra en la Figura 1-50, el firewall recopila estadísticas sobre los paquetes SYN. Si la cantidad de paquetes SYN destinados a un destino alcanza el umbral preestablecido durante un período de tiempo específico, se activa la autenticación de origen TCP.

 

Después de habilitar la autenticación de la fuente TCP, el firewall responderá con un mensaje SYN + ACK que lleva un número de confirmación incorrecto al recibir un mensaje SYN del cliente. Si el firewall no recibe un mensaje RST del cliente, el firewall considera que el mensaje SYN no es normal y determina que la dirección de origen es una dirección falsa. Si el firewall recibe un mensaje RST, el firewall considera que el mensaje SYN es normal y determina que la dirección de origen es real. Luego, el cortafuegos enumera la dirección de origen y considera que todos los paquetes del cliente son legítimos hasta que caduque la entrada de la lista en blanco.

 

Figura 1-5 autenticación de origen TCP


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
Respuesta rápida Desplácese hasta arriba