DoS攻撃の種類
多くのDoS攻撃の種類、主に土地の攻撃、死のピング、ティアドロップ、スマーフ攻撃やSYNフラッドがあります。
統計によると、すべてのハッキング事件で、SYNフラッド攻撃は、最も一般的であり、DoS攻撃の戦術を使用するのが最も簡単。
1.攻撃
SYNフラッド攻撃を理解するためには、我々は最初の3ウェイハンドシェイクTCP接続(スリーwayhandshake)を理解する必要があります。TCP / IPプロトコルでは、TCPプロトコルは、接続を確立するために信頼性の高い接続サービス、3ウェイハンドシェイクを提供します。最初のハンドシェイク:接続が確立され、クライアントがSYNパケットを((SYN = 1)送信サーバ SYNに、およびSEND状態、サーバは肯定応答を待つ;
第二のハンドシェイク:サーバーはSYNパケットを受信し、顧客のSYNを確認しなければなりません( ACK = I + 1)、同} JJ「自身がSYNパケット((SYNのJ)}すなわち、SYN + ACKパケットを送信し、サーバは、状態SYN_RECVに入り、
第三のハンドシェーク:クライアントサーバーはSYN ACK 10を受信しますパケット、サーバはパケットACK(ACK = J + 1)に確認応答を送信し 、 このパケットが送信され、ESTABLISHED状態に、クライアントとサーバ、3ウェイハンドシェイクを完了し、クライアントとサーバは、データの送信を開始する。
上記のプロセスでは、いくつかの重要ながありますコンセプト:
ハーフ接続:SYNパケットを受信し、半接続と呼ばれるACKパケットが、それはまだ完全には3ウェイハンドシェイクTCP接続を完了していないときに接続状態を受信されない。
ハーフ接続キュー:3ウェイハンドシェイク・プロトコル、サーバーは、半分を維持します各キューは、SYNパケットである接続キューは、(SYNが= i)がクライアントエントリを定義し、エントリは、サーバが顧客に確認を送る、SYNパケットを受信し、顧客が確認応答パケットを待っていることを示している。これらのエントリは、接続を識別サーバーで サーバーがクライアントの確認パケットを受信SYN_ RECV状態では、エントリを削除し、ESTABLISHED状態にサーバー。
バックログパラメータ:キューの最大数は半分のコネクタレセプタクルを表します。
SYN-ACKの再送回数:再送信すると、サーバーは、クライアントが確認パケット、サーバー最初の再送信を受信していない場合には、顧客の確認パック、第二の再送信を受信するためにはまだいくつかの時間を待って、SYN-ACKパケットの送信を完了しました最大再送回数は、所定の方式、半接続キューから削除され、システムの接続情報を超えました。各再送待ち時間は必ずしも同じではないことに注意してください。
セミ結合生存時間:キュー・エントリが最大値の半分の時間の生存に接続された意味、即ちSYNパケットは、メッセージが無効な最大時間であることを確認するために、サービスから受信される、すべての再送要求パケットの時間値は最長待ちであります時間の合計。時にはまた、半接続タイムアウト時間、SYN_RECV生存時間の生存期間と呼ばれます。
上記の3つのパラメータは、TCP接続システムの状態に大きな影響を与えます。
半分のCPUとメモリリソースを消費する多数の接続要求を送信することにより、TCPプロトコルの脆弱性を使用してDoS攻撃の一種に属するSYNフラッド攻撃。ホストに影響を与えるだけでなく、ルータ、ファイアウォールやその他の害を与えることはできないことに加えSYN攻撃ネットワークシステムを、実際には、SYN攻撃とどんなターゲットシステム、限り、これらのシステムを実現することができるようTCPサービスを開きます。図4-3からわかるように、サーバーが接続要求を受信する(SYNを= i)は、この情報を追加接続キューではなく、クライアントが要求パケットを送信する(SYN = J、ACKを= I + 1)、 この時の状態にSYN_RECV 。このエントリを削除することはありませんまで、サーバーは応答パケットのクライアント、タイムアウトになるまでパケット再送要求、接続キューを受信しない場合。IPスプーフィングでは、SYN攻撃が良い結果が、通常、偽のクライアントIPアドレスの数が多い絶えずサーバーにSYNパケットを送信し、短い時間内に存在しない達成することができ、サーバはソースから、パケットを確認し、顧客が確認するのを待つ返信アドレスが存在しない、サーバーが接続キューの占有の長い期間のための再送タイムアウト、偽造SYNパケットまで継続する必要があり、通常のSYN要求が
ドロップされ、ターゲットシステムは、重大なネットワークの輻輳、あるいはシステム障害を引き起こし、ゆっくりと実行されています。次のように
攻撃C(アドレスC「になりすまし)----- SYNパケットの多数---->彼攻撃を
C「<------- SYN / ACKパケット----ホストを攻撃
Cので、」アドレスが到達可能ではない、タイムアウトSYNパケットをホスト待機を攻撃します。ホストSYNパケットの量に襲わ脂肪の人々は、接続キューが拒否され、通常のサービスSYNパケットで、その結果、塗りつぶしではありません。また、SYNフラッド攻撃もACKパケットを大量に送信することにより、DoS攻撃することができます。
2。伝統的なアルゴリズムの
SYNフラッド攻撃は、より一般的に、ゲートウェイ、ファイアウォール、ファイアウォールの中継方法とsyncookies機能のための法律に違反した方法を使用していました。説明を容易にするために、システム・トポロジは、図を簡略化されている。4-4。ネットワークのファイアウォールの内部または外部ネットワークは外部ネットワークに分割することにより、描画、(ネットワークはファイアウォールによって保護されています)。第二に、ファイアウォールの設定SYN再送タイマー。タイムアウト値は、バックログキューがいっぱいになって回避するのに十分小さくなければならない。同時に、通常の通信利用者を確保するのに十分な大きさでなければなりません。
(1)方法ゲートウェイ、ファイアウォール
攻撃に対する基本的な考え方・ゲートウェイ・ファイアウォールがある:SYN / ACKパケットが発行したネットワークサーバーの場合、ACKパケットがファイアウォールに応じて即座に送信されます。ネットワーク・サーバへのACKパケットが、バックログキューが開かれた接続に接続し、この半分から削除された場合、TCPが完了して接続します。半加工より大きい接続口を接続する前に、サーバの容量が、この方法は効果的に内部ネットワークサーバーSYN攻撃を減らすことができ、バックログキューを有効にするのに有効では、再送不完全接続しつつ、フル状態ではありませんあなたは長く待つことができます。
以下は、アルゴリズムの完全な記述である:
最初のステップは、ファイアウォールは、到着ネットワークサーバーを可能にすることにより、内側SYNパケットネットワークのクライアントから外部のネットワークサーバーをインターセプト。また、接続テーブルトレーシングイベントに記録されている。
第2のステップは、SYN / ACKに応答してサーバからクライアントに送信されたファイアウォール傍受パケットは、それがテーブルにトレースレコードに対応するSYNパケットと一致する。
第3工程を、ファイアウォールがSYNをインターセプトするように/ ACKは、(クライアントに送信)を継続しました。一方、Webサーバは、内側にACKパケットを送信します。このように、サーバ用、TCP 3ウェイハンドシェイク接続が完了しています。半接続バックログキュー内のこのシステムの削除。
第四の工程は、このTCP接続が有効であるかどうかを確認するために、対応する二つの溶液を生成します。クライアントの接続試行が有効である場合には、ファイアウォールがクライアントからのACKパケットを受信します、その後、ファイアウォールはサーバーに転送されます。サーバーは、TCPプロトコルで許可されている冗長ACKパケット、無視されます
その後、ファイアウォールが再タイマーが判明し、クライアントからのACKパケットを受信しません、クライアントのIPアドレスが存在しない場合に。この場合、ファイアウォールの再送信この接続。
(2)ファイアウォール法リレー
攻撃の思考に対するリレーファイアウォールは次のとおりです。ネット内側ファイアウォールサーバは、それによってSYN洪水を排除し、外部ネットワークに接続されたとの最初の3ウェイハンドシェイクを完了するために、SYNパケットを送信する前に攻撃のための条件を確立します。
以下は、アルゴリズムの完全な説明である
最初のステップは、ファイアウォールがクライアントから内側にSYNパケットの外部ネットワークのWebサーバを傍受
ファイアウォールが直接内側にSYNパケット網を送信しない、第2工程を、代わりに内部サーバ・ネットワーク外向きSYNIACKパケットを送信する。
第3工程を、唯一のACKパケットを外部ネットワークに、SYNパケットネットワークファイアウォールの内側。
第四工程、サーバ応答SYN / ACKパケットを送信する。
第五工程、ファイアウォールアクノリッジACKパケット。
(3)分析
まず、アルゴリズムの性能は、それを見ることができる。アルゴリズムの効率を向上させるためには、(ベースモジュールは、本システムの層によって達成することができる)状態検知機構を使用し
た場合でも、非SYNパケット(CSYN / ACK及びACKパケット)のためライン追跡情報テーブルに対応する項目を見つけるだけでなく、ルール・ベース、ルールベースに一致すると、一致が多くの項目を比較する必要がない(例えば、IPアドレス、ポート番号など)、トラフィックファイアウォールを低減する大きなコスト、。さらに、中継ファイアウォールアルゴリズムで、SYNパケット剤ので、ファイアウォールの負荷が増大し、ファイアウォールは、流量を減少させます。
第二に、ACKパケットがホストではなく、SYNパケット、アルゴリズムのセキュリティ侵害を攻撃するために送られたとき。一般に、接続からのTCP SYNパケットは、ルール・ベースのマッチングSYNパケットは、これは接続トラッキングテーブルを接続するために追加された後、開始し、60代のシステム遅延。ACKパケットを受信すると、その後、接続遅延が突然3600に増加しました。、TCPコネクションACK開始からパケットが、接続は、接続の追跡テーブルに登録されていない場合は、ACKパケットは、ルールベースに一致します。マッチングが成功したとして、3600を遅延させるために設定されている間、接続は、接続追跡テーブルに追加されます。システムが応答しない場合でも、接続が終了されることはありません。攻撃者は、ACKパケットを大量に送信した場合、それは他のTCP接続につながる、半接続キューがいっぱいになります確立することはできません。ネットワーク内からこのような攻撃。ネットワーク外部からのACKパケット攻撃では、サーバは、接続(SOS>を終了迅速RSTパケットを送信する。複数を制限する契約ネット、あまり厳しいルールについて。攻撃後一定時間に、なぜならネットワークから送信された大部分のACKパケット、およびファイアウォール速度が処理速度よりも速い、システムは麻痺を引き起こす可能性がある。
(4)SYNクッキー
Linuxは、プロトコルのTCPシーケンス番号の生成方法を変更することによって、SYNフラッド攻撃能力に対してそれを強化するため、SYN Cookieをサポート。TCPプロトコルでは、クライアントのSYN要求を受信すると、サーバーがクライアントにSYN-SACKパケットを返す必要があり、クライアントはサーバに確認パケットを送信する必要があります。典型的には、サーバの初期シーケンス番号は、特定のルールまたは乱数に従ってサーバによって算出するが、SYNクッキーは、サーバの初期シーケンス番号は、IPアドレス、クライアントポート、サーバのIPアドレスとクライアント用のサーバポートであり、そして以下のような他のセキュリティ機能は、クッキーと呼ばれる、暗号化したハッシュ関数値を、実行します。バックログにより、サーバーのSYN攻撃は、キューがいっぱいになる苦しむ場合は、サーバーは新しいSYN要求を拒否しませんが、応答クッキーは、クライアントのACKパケットを受信した場合、クライアントに、サーバー、クライアントのACKシーケンスを(SYNパケットシーケンス番号を返信)番号1を引きました。クッキーの比較値は、このクッキーに等しいかどうかを確認するために、これらの要素のハッシュ演算であろう。等しい場合は、3ウェイハンドシェイクが完了した指揮(注:この時点ではどうかバックログキューとの接続が表示されません)。
(5)土地の攻撃
陸上攻撃機の攻撃を使用してパケットを送信するために同じ送信元と送信先のホストとポートです。その結果は、通常、崩壊に弱いマシンです。
土地の攻撃では、元と宛先は、特別に構築されたSYNパケットは、サーバは、自身のアドレスを送信するSYN ACKメッセージを受け入れるになり、特定のサーバに対処するために設定されているアドレス、及びその結果を送り返しACKメッセージと、空の接続を作成し、これらの接続のそれぞれがタイムアウトオフするまで保持されます。土地の攻撃のためのさまざまな、多くのUNIX実装がクラッシュする、およびWindows NTは、(5分程度)極端に遅くなります。
死の(6)のPing
(死のピング)
Pingの送信先IPは常にターゲットホストネットワークの麻痺を起こしプロービング。一般的なツールは、その上の爆弾、AhBombとのカタツムリ。
早期ので、パケット・ルータの最大サイズは制限があり、多くのオペレーティングシステムは、所定のICMPパケットにTCP / IPスタックを達成するためによると、64キロバイトであり、パケットヘッダのヘッダが読み出される後催奇形性、それらのサイズは、ICMPパケットの上限を超えていると主張することは、ロードされたサイズは、TCP / IPスタックをもたらす、メモリ割り当てエラーが発生する上で64Kの制限を超えた場合には、ペイロードのためのバッファを生成するために、事前にタイトルに含まれる情報受信者のクラッシュで、その結果、崩壊。
防衛:今、すべての標準的なTCP / IPの実装は、パッケージのサイズが大きいに対して達成されている、ほとんどのファイアウォールは自動的にこれらの攻撃には、フィルタリングします。WindowsのWindows NT(サービスパック3の後)98の後に、Solaris版、およびMac OSから死の攻撃の一般的なpingのに抵抗する能力を持っています。また、ICMPおよび未知のプロトコルをブロックするようにファイアウォールを設定し、すべては、このような攻撃を防ぐ話します。
ピング-t(無制限のping)-l(長さ)死の65500のIPのpingは(64Kを超えるファイルを送信すると死のピングピングとなっています)
(7)涙滴
ティアドロップ)
ティアドロップ攻撃は、攻撃を達成するために、タイトルヘッダに含まれるTCP / IPスタックの実装における情報、IPパケットのフラグメントという信頼を悪用します。それはセグメントを含むIPセグメントがクラッシュをオフセット偽造セグメントのオーバーラップを受信すると(前のNTサービスパック4を含む)は、元のパッケージのセクション、TCP / IPのいくつかの情報が含まれていることを示しています。
防衛は:ファイアウォールを設定するのではなく、それらを転送するときに最新のサービスパックのサーバーを適用、またはセグメントを再構築します
(8)スマーフ攻撃
スマーフ攻撃は、攻撃プログラム名という名前の「スマーフ」を起動する最初のです。この攻撃方法は、IPスプーフィングの組み合わせを使用して、ICMP応答方法は、ターゲットシステムをフラッディングネットワークトラフィックの多くは、通常のシステムにターゲット・システム・サービスを起こすことを拒否します。最終的には、ネットワーク上のすべてのホストにつながる、被害者のホストを紛らすために、ICMPエコー要求(pingの)パケットの犠牲者のネットワークのアドレスをブロードキャストするように設定リターンアドレスを使用して、スマーフ攻撃は、ネットワークの混雑につながる、このICMPエコー要求に応答します。最終的には第三者の崩壊につながる、サードパーティ製の犠牲者へのより複雑な送信元アドレスをスマーフ。
多くのDoS攻撃の種類、主に土地の攻撃、死のピング、ティアドロップ、スマーフ攻撃やSYNフラッドがあります。
統計によると、すべてのハッキング事件で、SYNフラッド攻撃は、最も一般的であり、DoS攻撃の戦術を使用するのが最も簡単。
1.攻撃
SYNフラッド攻撃を理解するためには、我々は最初の3ウェイハンドシェイクTCP接続(スリーwayhandshake)を理解する必要があります。TCP / IPプロトコルでは、TCPプロトコルは、接続を確立するために信頼性の高い接続サービス、3ウェイハンドシェイクを提供します。最初のハンドシェイク:接続が確立され、クライアントがSYNパケットを((SYN = 1)送信サーバ SYNに、およびSEND状態、サーバは肯定応答を待つ;
第二のハンドシェイク:サーバーはSYNパケットを受信し、顧客のSYNを確認しなければなりません( ACK = I + 1)、同} JJ「自身がSYNパケット((SYNのJ)}すなわち、SYN + ACKパケットを送信し、サーバは、状態SYN_RECVに入り、
第三のハンドシェーク:クライアントサーバーはSYN ACK 10を受信しますパケット、サーバはパケットACK(ACK = J + 1)に確認応答を送信し 、 このパケットが送信され、ESTABLISHED状態に、クライアントとサーバ、3ウェイハンドシェイクを完了し、クライアントとサーバは、データの送信を開始する。
上記のプロセスでは、いくつかの重要ながありますコンセプト:
ハーフ接続:SYNパケットを受信し、半接続と呼ばれるACKパケットが、それはまだ完全には3ウェイハンドシェイクTCP接続を完了していないときに接続状態を受信されない。
ハーフ接続キュー:3ウェイハンドシェイク・プロトコル、サーバーは、半分を維持します各キューは、SYNパケットである接続キューは、(SYNが= i)がクライアントエントリを定義し、エントリは、サーバが顧客に確認を送る、SYNパケットを受信し、顧客が確認応答パケットを待っていることを示している。これらのエントリは、接続を識別サーバーで サーバーがクライアントの確認パケットを受信SYN_ RECV状態では、エントリを削除し、ESTABLISHED状態にサーバー。
バックログパラメータ:キューの最大数は半分のコネクタレセプタクルを表します。
SYN-ACKの再送回数:再送信すると、サーバーは、クライアントが確認パケット、サーバー最初の再送信を受信していない場合には、顧客の確認パック、第二の再送信を受信するためにはまだいくつかの時間を待って、SYN-ACKパケットの送信を完了しました最大再送回数は、所定の方式、半接続キューから削除され、システムの接続情報を超えました。各再送待ち時間は必ずしも同じではないことに注意してください。
セミ結合生存時間:キュー・エントリが最大値の半分の時間の生存に接続された意味、即ちSYNパケットは、メッセージが無効な最大時間であることを確認するために、サービスから受信される、すべての再送要求パケットの時間値は最長待ちであります時間の合計。時にはまた、半接続タイムアウト時間、SYN_RECV生存時間の生存期間と呼ばれます。
上記の3つのパラメータは、TCP接続システムの状態に大きな影響を与えます。
半分のCPUとメモリリソースを消費する多数の接続要求を送信することにより、TCPプロトコルの脆弱性を使用してDoS攻撃の一種に属するSYNフラッド攻撃。ホストに影響を与えるだけでなく、ルータ、ファイアウォールやその他の害を与えることはできないことに加えSYN攻撃ネットワークシステムを、実際には、SYN攻撃とどんなターゲットシステム、限り、これらのシステムを実現することができるようTCPサービスを開きます。図4-3からわかるように、サーバーが接続要求を受信する(SYNを= i)は、この情報を追加接続キューではなく、クライアントが要求パケットを送信する(SYN = J、ACKを= I + 1)、 この時の状態にSYN_RECV 。このエントリを削除することはありませんまで、サーバーは応答パケットのクライアント、タイムアウトになるまでパケット再送要求、接続キューを受信しない場合。IPスプーフィングでは、SYN攻撃が良い結果が、通常、偽のクライアントIPアドレスの数が多い絶えずサーバーにSYNパケットを送信し、短い時間内に存在しない達成することができ、サーバはソースから、パケットを確認し、顧客が確認するのを待つ返信アドレスが存在しない、サーバーが接続キューの占有の長い期間のための再送タイムアウト、偽造SYNパケットまで継続する必要があり、通常のSYN要求が
ドロップされ、ターゲットシステムは、重大なネットワークの輻輳、あるいはシステム障害を引き起こし、ゆっくりと実行されています。次のように
攻撃C(アドレスC「になりすまし)----- SYNパケットの多数---->彼攻撃を
C「<------- SYN / ACKパケット----ホストを攻撃
Cので、」アドレスが到達可能ではない、タイムアウトSYNパケットをホスト待機を攻撃します。ホストSYNパケットの量に襲わ脂肪の人々は、接続キューが拒否され、通常のサービスSYNパケットで、その結果、塗りつぶしではありません。また、SYNフラッド攻撃もACKパケットを大量に送信することにより、DoS攻撃することができます。
2。伝統的なアルゴリズムの
SYNフラッド攻撃は、より一般的に、ゲートウェイ、ファイアウォール、ファイアウォールの中継方法とsyncookies機能のための法律に違反した方法を使用していました。説明を容易にするために、システム・トポロジは、図を簡略化されている。4-4。ネットワークのファイアウォールの内部または外部ネットワークは外部ネットワークに分割することにより、描画、(ネットワークはファイアウォールによって保護されています)。第二に、ファイアウォールの設定SYN再送タイマー。タイムアウト値は、バックログキューがいっぱいになって回避するのに十分小さくなければならない。同時に、通常の通信利用者を確保するのに十分な大きさでなければなりません。
(1)方法ゲートウェイ、ファイアウォール
攻撃に対する基本的な考え方・ゲートウェイ・ファイアウォールがある:SYN / ACKパケットが発行したネットワークサーバーの場合、ACKパケットがファイアウォールに応じて即座に送信されます。ネットワーク・サーバへのACKパケットが、バックログキューが開かれた接続に接続し、この半分から削除された場合、TCPが完了して接続します。半加工より大きい接続口を接続する前に、サーバの容量が、この方法は効果的に内部ネットワークサーバーSYN攻撃を減らすことができ、バックログキューを有効にするのに有効では、再送不完全接続しつつ、フル状態ではありませんあなたは長く待つことができます。
以下は、アルゴリズムの完全な記述である:
最初のステップは、ファイアウォールは、到着ネットワークサーバーを可能にすることにより、内側SYNパケットネットワークのクライアントから外部のネットワークサーバーをインターセプト。また、接続テーブルトレーシングイベントに記録されている。
第2のステップは、SYN / ACKに応答してサーバからクライアントに送信されたファイアウォール傍受パケットは、それがテーブルにトレースレコードに対応するSYNパケットと一致する。
第3工程を、ファイアウォールがSYNをインターセプトするように/ ACKは、(クライアントに送信)を継続しました。一方、Webサーバは、内側にACKパケットを送信します。このように、サーバ用、TCP 3ウェイハンドシェイク接続が完了しています。半接続バックログキュー内のこのシステムの削除。
第四の工程は、このTCP接続が有効であるかどうかを確認するために、対応する二つの溶液を生成します。クライアントの接続試行が有効である場合には、ファイアウォールがクライアントからのACKパケットを受信します、その後、ファイアウォールはサーバーに転送されます。サーバーは、TCPプロトコルで許可されている冗長ACKパケット、無視されます
その後、ファイアウォールが再タイマーが判明し、クライアントからのACKパケットを受信しません、クライアントのIPアドレスが存在しない場合に。この場合、ファイアウォールの再送信この接続。
(2)ファイアウォール法リレー
攻撃の思考に対するリレーファイアウォールは次のとおりです。ネット内側ファイアウォールサーバは、それによってSYN洪水を排除し、外部ネットワークに接続されたとの最初の3ウェイハンドシェイクを完了するために、SYNパケットを送信する前に攻撃のための条件を確立します。
以下は、アルゴリズムの完全な説明である
最初のステップは、ファイアウォールがクライアントから内側にSYNパケットの外部ネットワークのWebサーバを傍受
ファイアウォールが直接内側にSYNパケット網を送信しない、第2工程を、代わりに内部サーバ・ネットワーク外向きSYNIACKパケットを送信する。
第3工程を、唯一のACKパケットを外部ネットワークに、SYNパケットネットワークファイアウォールの内側。
第四工程、サーバ応答SYN / ACKパケットを送信する。
第五工程、ファイアウォールアクノリッジACKパケット。
(3)分析
まず、アルゴリズムの性能は、それを見ることができる。アルゴリズムの効率を向上させるためには、(ベースモジュールは、本システムの層によって達成することができる)状態検知機構を使用し
た場合でも、非SYNパケット(CSYN / ACK及びACKパケット)のためライン追跡情報テーブルに対応する項目を見つけるだけでなく、ルール・ベース、ルールベースに一致すると、一致が多くの項目を比較する必要がない(例えば、IPアドレス、ポート番号など)、トラフィックファイアウォールを低減する大きなコスト、。さらに、中継ファイアウォールアルゴリズムで、SYNパケット剤ので、ファイアウォールの負荷が増大し、ファイアウォールは、流量を減少させます。
第二に、ACKパケットがホストではなく、SYNパケット、アルゴリズムのセキュリティ侵害を攻撃するために送られたとき。一般に、接続からのTCP SYNパケットは、ルール・ベースのマッチングSYNパケットは、これは接続トラッキングテーブルを接続するために追加された後、開始し、60代のシステム遅延。ACKパケットを受信すると、その後、接続遅延が突然3600に増加しました。、TCPコネクションACK開始からパケットが、接続は、接続の追跡テーブルに登録されていない場合は、ACKパケットは、ルールベースに一致します。マッチングが成功したとして、3600を遅延させるために設定されている間、接続は、接続追跡テーブルに追加されます。システムが応答しない場合でも、接続が終了されることはありません。攻撃者は、ACKパケットを大量に送信した場合、それは他のTCP接続につながる、半接続キューがいっぱいになります確立することはできません。ネットワーク内からこのような攻撃。ネットワーク外部からのACKパケット攻撃では、サーバは、接続(SOS>を終了迅速RSTパケットを送信する。複数を制限する契約ネット、あまり厳しいルールについて。攻撃後一定時間に、なぜならネットワークから送信された大部分のACKパケット、およびファイアウォール速度が処理速度よりも速い、システムは麻痺を引き起こす可能性がある。
(4)SYNクッキー
Linuxは、プロトコルのTCPシーケンス番号の生成方法を変更することによって、SYNフラッド攻撃能力に対してそれを強化するため、SYN Cookieをサポート。TCPプロトコルでは、クライアントのSYN要求を受信すると、サーバーがクライアントにSYN-SACKパケットを返す必要があり、クライアントはサーバに確認パケットを送信する必要があります。典型的には、サーバの初期シーケンス番号は、特定のルールまたは乱数に従ってサーバによって算出するが、SYNクッキーは、サーバの初期シーケンス番号は、IPアドレス、クライアントポート、サーバのIPアドレスとクライアント用のサーバポートであり、そして以下のような他のセキュリティ機能は、クッキーと呼ばれる、暗号化したハッシュ関数値を、実行します。バックログにより、サーバーのSYN攻撃は、キューがいっぱいになる苦しむ場合は、サーバーは新しいSYN要求を拒否しませんが、応答クッキーは、クライアントのACKパケットを受信した場合、クライアントに、サーバー、クライアントのACKシーケンスを(SYNパケットシーケンス番号を返信)番号1を引きました。クッキーの比較値は、このクッキーに等しいかどうかを確認するために、これらの要素のハッシュ演算であろう。等しい場合は、3ウェイハンドシェイクが完了した指揮(注:この時点ではどうかバックログキューとの接続が表示されません)。
(5)土地の攻撃
陸上攻撃機の攻撃を使用してパケットを送信するために同じ送信元と送信先のホストとポートです。その結果は、通常、崩壊に弱いマシンです。
土地の攻撃では、元と宛先は、特別に構築されたSYNパケットは、サーバは、自身のアドレスを送信するSYN ACKメッセージを受け入れるになり、特定のサーバに対処するために設定されているアドレス、及びその結果を送り返しACKメッセージと、空の接続を作成し、これらの接続のそれぞれがタイムアウトオフするまで保持されます。土地の攻撃のためのさまざまな、多くのUNIX実装がクラッシュする、およびWindows NTは、(5分程度)極端に遅くなります。
死の(6)のPing
(死のピング)
Pingの送信先IPは常にターゲットホストネットワークの麻痺を起こしプロービング。一般的なツールは、その上の爆弾、AhBombとのカタツムリ。
早期ので、パケット・ルータの最大サイズは制限があり、多くのオペレーティングシステムは、所定のICMPパケットにTCP / IPスタックを達成するためによると、64キロバイトであり、パケットヘッダのヘッダが読み出される後催奇形性、それらのサイズは、ICMPパケットの上限を超えていると主張することは、ロードされたサイズは、TCP / IPスタックをもたらす、メモリ割り当てエラーが発生する上で64Kの制限を超えた場合には、ペイロードのためのバッファを生成するために、事前にタイトルに含まれる情報受信者のクラッシュで、その結果、崩壊。
防衛:今、すべての標準的なTCP / IPの実装は、パッケージのサイズが大きいに対して達成されている、ほとんどのファイアウォールは自動的にこれらの攻撃には、フィルタリングします。WindowsのWindows NT(サービスパック3の後)98の後に、Solaris版、およびMac OSから死の攻撃の一般的なpingのに抵抗する能力を持っています。また、ICMPおよび未知のプロトコルをブロックするようにファイアウォールを設定し、すべては、このような攻撃を防ぐ話します。
ピング-t(無制限のping)-l(長さ)死の65500のIPのpingは(64Kを超えるファイルを送信すると死のピングピングとなっています)
(7)涙滴
ティアドロップ)
ティアドロップ攻撃は、攻撃を達成するために、タイトルヘッダに含まれるTCP / IPスタックの実装における情報、IPパケットのフラグメントという信頼を悪用します。それはセグメントを含むIPセグメントがクラッシュをオフセット偽造セグメントのオーバーラップを受信すると(前のNTサービスパック4を含む)は、元のパッケージのセクション、TCP / IPのいくつかの情報が含まれていることを示しています。
防衛は:ファイアウォールを設定するのではなく、それらを転送するときに最新のサービスパックのサーバーを適用、またはセグメントを再構築します
(8)スマーフ攻撃
スマーフ攻撃は、攻撃プログラム名という名前の「スマーフ」を起動する最初のです。この攻撃方法は、IPスプーフィングの組み合わせを使用して、ICMP応答方法は、ターゲットシステムをフラッディングネットワークトラフィックの多くは、通常のシステムにターゲット・システム・サービスを起こすことを拒否します。最終的には、ネットワーク上のすべてのホストにつながる、被害者のホストを紛らすために、ICMPエコー要求(pingの)パケットの犠牲者のネットワークのアドレスをブロードキャストするように設定リターンアドレスを使用して、スマーフ攻撃は、ネットワークの混雑につながる、このICMPエコー要求に応答します。最終的には第三者の崩壊につながる、サードパーティ製の犠牲者へのより複雑な送信元アドレスをスマーフ。