Contente
- Noções básicas sobre o protocolo TCP: Como funciona uma inundação SYN
- Sem erros, sem estresse - seu guia passo a passo para criar software que muda vidas sem destruir sua vida
- Slowloris
- Táticas de resposta contra ataques de inundação SYN
- Permaneça vigilante, proteja contra ataques
Fonte: Aleutie / Dreamstime.com
Leve embora:
Com a disponibilização de 65.535 portas TCP em um único endereço IP, é fácil perceber por que existem tantas explorações de segurança na Internet. Mas, embora os ataques SYN não sejam novos, eles ainda são difíceis de resolver.
Um nível de risco aceitável é evidente quando qualquer empresa lança um site e o coloca na internet, abrindo suas portas para todos os visitantes. O que algumas empresas podem não perceber é que alguns riscos são intransponíveis, mesmo para grandes empresas e agências governamentais. Entre meados e final dos anos 90, um tipo de ataque efeitos colaterais destrutivos foram considerados praticamente insolúveis - e continua sendo um problema até hoje.
É conhecido como ataque de inundação SYN. Com 65.535 portas TCP impressionantes sendo disponibilizadas em um único endereço IP, tudo isso poderia deixar qualquer software escutando por trás dessas portas vulnerável, é fácil perceber por que existem tantas explorações de segurança na Internet. As inundações de SYN dependem do fato de que os servidores da Web respondem a solicitações aparentemente legítimas de páginas da Web, não importa quantas solicitações sejam feitas. No entanto, se um invasor fizer muitas solicitações, o que deixa o servidor da Web amarrado e incapaz de continuar atendendo a solicitações realmente legítimas, ocorrerá um desastre e o servidor da Web falhará. Em um nível básico, é assim que as inundações de SYN funcionam. A seguir, veja alguns dos tipos mais comuns de ataques SYN e o que os administradores de rede e sistemas podem fazer para mitigá-los.
Noções básicas sobre o protocolo TCP: Como funciona uma inundação SYN
Graças à aparente falta de técnicas óbvias de mitigação, os ataques SYN eram muito temidos pelas empresas on-line quando foram identificadas pela primeira vez na natureza.
Aterrissando firmemente sob a variedade de ataques de negação de serviço, o que tornou as inundações SYN mais frustrantes para os sistemas e administradores de rede foi que, pelo menos ostensivamente, o tráfego de ataque se apresentou como tráfego legítimo.
Para apreciar a simplicidade - alguns podem dizer a beleza - desse sabor de ataque, precisamos olhar brevemente um pouco mais para o protocolo responsável por uma parte significativa do tráfego de internets, o Transmission Control Protocol (TCP).
O objetivo de um ataque desse tipo é absorver rapidamente todos os recursos disponíveis de servidores da Web convencendo o servidor a fornecer dados para visitantes legítimos. Como resultado, o serviço é negado aos usuários legítimos dos servidores.
As conexões TCP, que são usadas para exibir sites e tweets, entre milhões de outras funções on-line, são iniciadas com o que é chamado de handshake de três vias. A premissa para o handshake é simples e, uma vez que os dois lados estão conectados, esse protocolo sofisticado permite funcionalidades como limitar a taxa de dados que um servidor deseja para um destinatário com base na quantidade de largura de banda disponível.
Começando com um pacote SYN (que significa sincronização) enviado do visitante ou cliente, o servidor responde eficientemente com um pacote SYN-ACK (ou reconhecimento de sincronização), que é confirmado pelo visitante, que é um pacote ACK de própria em resposta. Nesse ponto, uma conexão foi estabelecida e o tráfego pode fluir livremente.
Sem erros, sem estresse - seu guia passo a passo para criar software que muda vidas sem destruir sua vida
Você não pode melhorar suas habilidades de programação quando ninguém se importa com a qualidade do software.
Um ataque de inundação SYN contorna essa troca tranqüila ao não enviar o ACK ao servidor após o envio do SYN-ACK inicial. Esse pacote é completamente omitido ou a resposta pode conter informações enganosas, como um endereço IP falsificado, forçando o servidor a tentar conectar-se completamente a outra máquina. Isso é simples, mas mortal para qualquer host que respeite o TCP.
Slowloris
Uma variante desse método de ataque, que chegou às manchetes alguns anos atrás, foi chamada Slowloris. O site Slowloris se descreve como "o cliente HTTP de baixa largura de banda, mas ganancioso e venenoso!" O site certamente contribui para uma leitura preocupante e descreve como uma única máquina pode "derrubar o servidor da Web de outras máquinas com largura de banda mínima e efeitos colaterais em serviços e portas não relacionados".
Ele continua explicando que esse ataque não é realmente um ataque de negação de serviço TCP. Aparentemente, isso ocorre porque uma conexão TCP completa é criada, mas, principalmente, apenas uma solicitação HTTP parcial é feita para retirar uma página da Web do servidor. Um efeito colateral é que o servidor da Web pode retornar rapidamente ao seu estado operacional normal em relação a outros ataques.
Na mesma linha sinistra do design dos ataques, esse recurso pode permitir que um invasor implante outro ataque de curta duração em um curto espaço de tempo, enquanto o servidor enfrenta uma inundação SYN e, em seguida, retorna o servidor como antes, sem sendo notado.
Táticas de resposta contra ataques de inundação SYN
Com alguns sites de alto perfil sendo direcionados, ficou claro que era necessária e prontamente uma técnica de mitigação. O problema é que tornar um servidor completamente impenetrável a esses ataques é difícil. Considere, por exemplo, que mesmo o que é conhecido como derrubar conexões consome recursos do servidor e pode causar outras dores de cabeça.
Os desenvolvedores do Linux e do FreeBSD responderam com uma adição do kernel chamada cookies SYN, que faz parte do kernel padrão por um longo tempo. (Embora, surpreendentemente, nem todos os kernels os habilitem por padrão.) Os cookies SYN funcionam com o que é conhecido como números de sequência TCP. Eles têm uma maneira de usar números de sequência preferenciais quando uma conexão é estabelecida inicialmente e também atenuam inundações descartando pacotes SYN que estão em sua fila. Isso significa que eles podem lidar com muito mais conexões, se necessário. Como resultado, a fila nunca deve ficar sobrecarregada - pelo menos em teoria.
Alguns oponentes falam abertamente contra cookies SYN por causa das alterações que fazem nas conexões TCP. Como resultado, as transações de cookie TCP (TCPCT) foram introduzidas para superar qualquer uma das deficiências dos cookies SYN.
Permaneça vigilante, proteja contra ataques
Com o número cada vez maior de vetores de ataque sendo descobertos e depois explorados na Internet, é importante permanecer vigilante o tempo todo. Certos tipos de ataques forçam aqueles com boas intenções e aqueles com intenção maliciosa a explorar novos métodos para proteger e atacar sistemas. Uma coisa é certa: as lições aprendidas com ataques simples e sofisticados, como as inundações de SYN, mantêm os pesquisadores de segurança ainda mais atentos ao modo como os protocolos e o software de firewall devem evoluir no futuro. Só podemos esperar que seja benéfico para a Internet em geral.