SYN Flood Attacks: Simple Namun Signifikan Merusak

Video: STRIKE IRONS SOLID MORE OFTEN WITH THIS VERY SIMPLE THOUGHT AND DRILL

Isi

Dasar-dasar Protokol TCP: Cara Kerja SYN Flood
Tanpa Bug, Tanpa Stres - Panduan Langkah Demi Langkah Anda untuk Membuat Perangkat Lunak yang Mengubah Hidup Tanpa Menghancurkan Kehidupan Anda
Kukang
Taktik Respons Terhadap Serangan Banjir SYN
Tetap Waspada, Lindungi Terhadap Serangan

Sumber: Aleutie / Dreamstime.com

Bawa pulang:

Dengan 65.535 port TCP yang luar biasa tersedia pada satu alamat IP, mudah untuk melihat mengapa ada begitu banyak eksploitasi keamanan di Internet. Tetapi meskipun serangan SYN bukanlah hal baru, serangan itu masih sulit diatasi.

Tingkat risiko yang dapat diterima jelas ketika bisnis apa pun meluncurkan situs web dan meletakkannya di internet, membuka pintunya bagi semua pengunjung. Apa yang beberapa bisnis mungkin tidak sadari adalah bahwa beberapa risiko tidak dapat diatasi, bahkan untuk perusahaan besar dan lembaga pemerintah. Selama pertengahan hingga akhir 90-an satu jenis serangan efek samping destruktif dianggap semua tidak larut - dan terus menjadi masalah sampai hari ini.

Ini dikenal sebagai serangan banjir SYN. Dengan 65.535 port TCP yang luar biasa tersedia pada satu alamat IP, yang semuanya dapat membuat perangkat lunak mendengarkan di belakang port-port itu rentan, mudah untuk melihat mengapa ada begitu banyak eksploitasi keamanan di internet. SYN banjir bergantung pada kenyataan bahwa server web akan menanggapi permintaan yang tampaknya sah untuk halaman web, tidak peduli berapa banyak permintaan yang dibuat. Namun, jika penyerang membuat banyak permintaan, yang kemudian membuat server web tetap sibuk dan tidak dapat terus melayani permintaan yang benar-benar sah, bencana akan menyerang dan server web akan gagal. Pada tingkat dasar, ini adalah bagaimana banjir SYN bekerja. Di sini kita akan melihat beberapa tipe serangan SYN yang paling umum dan apa yang dapat dilakukan oleh administrator sistem dan sistem untuk memitigasi mereka.

Dasar-dasar Protokol TCP: Cara Kerja SYN Flood

Berkat kurangnya teknik mitigasi yang jelas, serangan SYN benar ditakuti oleh bisnis online ketika mereka pertama kali diidentifikasi di alam liar.

Mendarat dengan kuat di bawah penolakan berbagai layanan serangan, apa yang membuat banjir SYN paling membuat frustrasi bagi sistem dan administrator jaringan adalah bahwa, paling tidak, lalu lintas serangan menampilkan dirinya sebagai lalu lintas yang sah.

Untuk menghargai kesederhanaan - beberapa mungkin mengatakan keindahan - dari rasa serangan ini, kita perlu melihat sedikit lebih dekat pada protokol yang bertanggung jawab untuk bagian penting dari lalu lintas internet, Transmission Control Protocol (TCP).

Tujuan dari serangan semacam itu adalah untuk dengan mudah menyerap semua sumber daya web server yang tersedia dengan meyakinkan server itu akan menyajikan data kepada pengunjung yang sah. Akibatnya, layanan ditolak untuk server pengguna yang sah.

Koneksi TCP, yang digunakan untuk, melihat situs web dan tweet, di antara jutaan fungsi online lainnya, dimulai dengan apa yang disebut jabat tangan tiga arah. Premis untuk jabat tangan itu sederhana dan setelah kedua belah pihak terhubung, protokol canggih ini memungkinkan untuk fungsionalitas seperti pembatasan tingkat berapa banyak data server akan ke penerima berdasarkan berapa banyak bandwidth yang tersedia penerima.

Dimulai dengan paket SYN (yang merupakan singkatan dari sinkronisasi) yang dikirim dari pengunjung atau klien, server kemudian merespons secara efisien dengan paket SYN-ACK (atau sinkronisasi-pengakuan), yang kemudian dikonfirmasi oleh pengunjung, yang merupakan paket ACK dari sendiri sebagai tanggapan. Pada titik itu, koneksi telah dibuat dan lalu lintas dapat mengalir dengan bebas.

Tanpa Bug, Tanpa Stres - Panduan Langkah Demi Langkah Anda untuk Membuat Perangkat Lunak yang Mengubah Hidup Tanpa Menghancurkan Kehidupan Anda

Anda tidak dapat meningkatkan keterampilan pemrograman Anda ketika tidak ada yang peduli dengan kualitas perangkat lunak.

Serangan banjir SYN menghindari pertukaran yang lancar ini dengan tidak memasukkan ACK ke server setelah SYN-ACK awalnya dikirim. Baik paket itu dihilangkan sama sekali atau responsnya mungkin berisi informasi yang menyesatkan seperti alamat IP palsu, sehingga memaksa server untuk mencoba dan kemudian menyambung ke mesin lain sepenuhnya. Ini sederhana namun mematikan untuk semua host yang menghormati TCP.

Kukang

Salah satu varian dari metode serangan ini, yang menjadi berita utama beberapa tahun yang lalu, disebut Slowloris. Situs Slowloris menggambarkan dirinya sebagai "klien HTTP bandwidth rendah, namun serakah dan beracun!" Situs ini pasti membuat untuk membaca yang mengkhawatirkan dan menggambarkan bagaimana satu mesin dapat "menghapus server web mesin lain dengan bandwidth minimal dan efek samping pada layanan dan port yang tidak terkait."

Selanjutnya dijelaskan bahwa serangan semacam itu sebenarnya bukan serangan penolakan layanan TCP. Ini tampaknya karena koneksi TCP penuh dibuat tetapi, yang lebih penting, hanya sebagian permintaan HTTP dibuat untuk menarik turun halaman web dari server. Salah satu efek sampingnya adalah server web dapat kembali ke kondisi pengoperasian normal dengan sangat cepat dibandingkan serangan lainnya.

Bersamaan dengan desain serangan yang sama, fitur ini memungkinkan penyerang untuk menyebarkan serangan jangka pendek lainnya dalam waktu singkat ketika server berjuang dengan banjir SYN dan kemudian mengembalikan server seperti sebelumnya, tanpa diperhatikan.

Taktik Respons Terhadap Serangan Banjir SYN

Dengan beberapa situs profil tinggi yang ditargetkan, menjadi jelas bahwa teknik mitigasi diperlukan dan segera. Masalahnya adalah membuat server benar-benar tidak dapat ditembus untuk serangan semacam itu sulit. Pertimbangkan, misalnya, bahwa apa pun yang dikenal sebagai penghancuran koneksi memakan sumber daya server dan dapat menyebabkan sakit kepala lainnya.

Pengembang Linux dan FreeBSD merespons dengan tambahan kernel yang disebut SYN cookies, yang telah menjadi bagian dari kernel stok untuk waktu yang lama. (Meskipun, secara mengejutkan, tidak semua kernel mengaktifkannya secara default.) Cookie SYN bekerja dengan apa yang dikenal sebagai nomor urut TCP. Mereka memiliki cara menggunakan nomor urut pilihan ketika koneksi awalnya dibuat dan juga mengurangi banjir dengan menjatuhkan paket SYN yang duduk di antrian mereka. Ini berarti mereka dapat menangani lebih banyak koneksi jika mereka harus. Akibatnya, antrian tidak boleh menjadi kewalahan - setidaknya dalam teori.

Beberapa lawan berbicara secara terbuka melawan cookie SYN karena perubahan yang mereka lakukan pada koneksi TCP. Akibatnya, transaksi cookie TCP (TCPCT) telah diperkenalkan untuk mengatasi kekurangan cookie SYN.

Tetap Waspada, Lindungi Terhadap Serangan

Dengan semakin banyaknya vektor serangan yang ditemukan dan kemudian dieksploitasi di internet, penting untuk tetap waspada setiap saat. Jenis serangan tertentu memaksa mereka yang memiliki niat baik dan mereka yang memiliki niat jahat untuk mengeksplorasi metode baru untuk melindungi dan menyerang sistem. Satu hal yang pasti adalah bahwa pelajaran yang didapat dari serangan sederhana namun canggih, seperti banjir SYN, membuat peneliti keamanan semakin terbiasa dengan bagaimana protokol dan perangkat lunak firewall harus berkembang di masa depan. Kami hanya bisa berharap ini bermanfaat bagi internet pada umumnya.