SYN-Flood攻撃とSYN-ACK-Flood(SYNリフレクション)攻撃の違いは何ですか?
各攻撃がどのように機能するかについての説明は、u TCP protocol
SYNフラッド :
1)攻撃者は自分のIPアドレスを偽造してすべてのサーバー被害者のポートで複数のSYNパケットを送信します
2)サーバーは、すべてのSYN要求で、開いているポートごとにSYN + ACKと閉じたポートに対してRSTで応答します。接続は「ハーフオープン」になり、サーバーはクライアントからのACK応答を期待して接続を確立します開く」
3)攻撃者はSYN + ACKに応答せず、接続を「ハーフオープン」状態のままにします(通常、サーバーがTCP接続を終了するまで75秒)。サーバーはシステムを構築しています保留中のすべての接続を説明するデータ構造をメモリします。このデータ構造は有限サイズであり、意図的にあまりにも多くの部分的に開いた接続を作成することでオーバーフローさせることができます。そうすると、システムはテーブルがなくなるまで新しい着信接続を受け入れることができなくなります空になりました。
リフレクション攻撃 は、双方向で同じプロトコルを使用するチャレンジ/レスポンス認証システムで使用され、ターゲットシステムをだまして自分の挑戦に答えて、SYNリフレクション攻撃があるとは思わない
攻撃者は、サーバー内の現在のセッションに属さないスプーフィングされたSYN-ACKパケットを送信します。これにより、ファイアウォール、IP、ID、サーバーなどのステートフルメカニズムがリソースを使い果たし、ルックアップが試行されます。すべての着信SYN-ACK要求のアップ。
この攻撃は、ボットネットが被害者のIPを送信者として偽装してインターネット上のサーバーにSYNパケットを送信することで増幅できます。各サーバーは、多数のSYN-ACKパケットを生成する犠牲サーバーにリダイレクトされたSYN-ACKで応答します。
ステートフルファイアウォールまたはids/ipsでは、スプーフィングされたIPおよびsyn/ackが設定されたパケットがサーバー内の現在のセッションに属していない場合、それらを自動的に破棄する必要があるため、DoS手法と見なされる理由がよくわかりません。代わりに、Syn Floodは、ハーフオープン接続を閉じる前に新しい接続が異なるIPによって開かれるという事実を利用するため、サーバーは、フラグsynが設定されたパケットと他のパケットを同時に制御して、送信されないハンドシェイク。 TCP/IPスタックは、接続のさまざまな状態とメモリ内の限られたスペースの間で共有されるため、半分開いている接続を閉じるための「時間待機」状態が高すぎると、輻輳がなくてもリソースが数時間で使い果たされる可能性があります大量のリクエストによるトラフィック。
Syn Flood Attackは、攻撃者が多数のランダムなIPアドレスを使用してSYNのキューを埋める攻撃であり、3方向のハンドシェイクでキューがいっぱいであるため、他のマシンは接続を確立できません。攻撃は、接続の帯域幅に基づく攻撃です。サーバーがクライアントにデータを送信しようとする場合、最初に受信者認識ウィンドウのサイズをチェックし、受信者のサイズよりも小さい場合は送信するか、データを格納するのに十分な空き領域が必要になるようにします。これが発生すると、攻撃者は基本的にサーバーがデータを送信した後でクライアントに確認応答を送信します。帯域幅のサイズよりも大きな数になる可能性があるため、サーバーが実際に機能を停止してビジーになります。
シンフラッド攻撃では、送信者は、オンラインではない、またはターゲットから攻撃者に送り返されたSyn-ackパケットに応答しないIPからの多くのSynパケットをターゲットに送信します。完全に達成されることのない2つの方法で開かれた接続のみのために使い果たされました。リフレクション攻撃 https://en.wikipedia.org/wiki/Reflection_attack では、ターゲットは独自のチャレンジ(リフレクション)に応答し、攻撃者は完全に認証されたチャネル接続を保持し、攻撃者は応答しません。ターゲットが送信した最初のチャレンジへ。