3.ACK:
Khi client nhận được thông báo về gói SYN/ACKcủa server cho sự chờ đợi kết nối ,nó trả lời với mộtt gói ACK.
Client thông báo nhận được phần SYN từ sự trả lời của Server bằng cách gửi một gửi một ACK trở ngược lại server .Tại thời điểm này ,hai con đường kết nối TCP đã được thiết lập giữa client và server ,và tại thời điểm này dữ liệu có thể tự do di chuyển trong cả hai hướng giữa hai điểm TCP cuối
Sự tiếp nhận của server từ sự chứng thực gói ACK của client đến server ,mà gói SYN/ACK có thể quay trở lại đến client .Tại thời điểm này ,server cân nhắc rằng hai con đường kết nối TCP đã được thiết lập giữa client và servervà dữ liệu có thể tự do di chuyển trong cả hai hướng giữa hai điểm TCP cuối
Sự lạm dụng TCP :Theo truyền thống tràn ngập SYN
Một vài năm trước ,một nhược điểm trong sự điều khiển kết nối TCP của nhiều hệ thống đã được khám phá và khai thác bởi nhiều hacker giỏi
Như đã trình bày trong lưỡc đồ TCP ở trên ,sự xác nhận của server từ một gói SYN của client với mục đích chuẩn bị cho một kết nối .Nó là một đặc thù chỉ định vùng nhớ đệm cho việc gửi và nhận việc kết nối dữ liệu và nó ghi lại chi tiết nhiều thứ khác nhau từ việc kết nối của client bao gồm điều khiển ip của client và kết nối số port .Trong cách này ,server sẽ chuẩn bị chấp nhận mở rộng kết nối gói ACK lần cuối của client .Ngoài ra ,nếu gói ACK của client bị lỗi trên đường đi ,server sẽ có thể gởi lại lần nữa .Cho rằng nó có thể bị lỗi hoặc bị phá huỷ trên giữa đường đi
Ngẫm nghĩ lại , điều này có nghĩa rằng bộ nhớ và những tài nguyên quan trọng được phâ phối như là một kết quả của một công thức.Thông minh nhưng những hacker giỏi đã tính rằng có một giới hạn số của “half open”có thể điều khiển kết nối a TCP server
bmuht_fig.95954_570ea0c9b61d4d62da31d2824da6dd33/03/6/6002/daolpu/enilnoavh/ten.enilnoavh.www//:ptth
Mặc dù sử dụng “Raw sockets” quay trở lại địa chỉ của gói source IP của gói có thể bị ghi đè và bị làm sai lệch ,khi một gói SYN với một source IP giả mạo đi đến server ,nó xuất hiện như là một vài lời đề nghị kết nối hợp lý .Server sẽ cung cấp cho bộ nhớ đệm cần thiết ,ghi lại những thông tin về kết nối mới và gởi một sự trả lời lại gói SYN/ACK đến client .NHưng từ khi source IP chứa đựng trong gói SYN bị cố ý giả mạo SYN/Ack sẽ gởi một IP ngẫu nhiên trên Internet .Nếu gói tin có một địa chỉ IP hợp lệ ,máy tính tại địa chỉ IP này có thể trả lời với một gói “RST” để cho phép server biết rằng nó không được yêu cầu một kết nối .Nhưng với trên 4 tỉ địa chỉ Internet , ở đó sẽ không có một máy nào tại địa chỉ đó và gói tin sẽ bị từ chối
Vấn đề ở đây là server không có cách nào biết được rằng sự yêu cầu kết nối hoàn hảo của client là một sự lừa đảo (giả mạo ).Vì thế nó cần xem xét một vài sự chờ đợi kết nối hợp lệ khác ,nó cần phải chờ trong một khoảng thời gian cho client hoàn tất “ba bước bắt tay “.Nếu ACK không nhận được ,server cần phải gửi lại SYN/ACK với sự tin tưởng rằng nó có thể bị lỗi trên đường trở lại client
Như bạn có thể hình dung ra ,tất cả sự quản lý kết nối này tiêu thụ một giá trị lớn giới hạn tài nguyên trên server .Trong lúc đó cuộc tấn công vào TCP client tiếp tục bừng lên những sự giả mạo gói SYN tại server ,bắt buộc nó tích luỹ liên tục những kết nối hỏng .Tại một vài thời điểm ,server sẽ không thể tích luỹ nhiều hơn một kết nối “half –open” và những kết nối hợp lệ sẽ bị quên lãng bởi vì khả năng của server có thể chấp nhận bất cứ kết nối mà sẽ phá huỷ một cách tinh vi
Không có sự tiêu huỷ băng thông
Trứơc khi hệ thống được hỗ trợ bởi khả năng làm tăng cao để giảm nhẹ tác dụng của sự tràn ngập SYN .Ngay cả một máy tinh vi đơn sử dụng một kết nối Dial-up chậm cũng có thể lấp đầy và phá huỷ hàng đợi kết nối của server internet có khả năng thi hành lệnh với tốc độ cao .Mặc dù có một vài tiến bộ trong sự chống lại sự giả mạo SYN có tính chất nguy hiểm ,một vài giải pháp có hiệu quả đã được tạo ra
Nó là một điều quan trọng cần phải hiểu là rất dễ dàng đánh lừa sự tấn công của source IP SYN để không bị những sự tấn công phá huỷ băng thông .Vì bản chất dễ bị tổn thươngcủa hầu hết TCP/IP của hệ thống
Hơn nữa hãy chú ý rằng tấn công từ chối dịch vụ thì không “phân tán “nó là một cuộc tấn công “DoS”,không giống như một vài hình thức tấn công DdoS . Đơn độc ,tinh vi ,máy phát sinh SYN , ẩn nó trong địa chỉ Internet và đặc tính đằng sau sự giả mạo các gói source IP SYN ,có thể liên hệ và down một web site lớn
|