SYN-Flood

SYN-Flood
TCP-Handshake

Ein SYN-Flood ist eine Form der Denial of Service-Attacke auf Computersysteme. Der Angriff verwendet den Verbindungsaufbau des TCP-Transportprotokolls, um einzelne Dienste oder ganze Computer aus dem Netzwerk unerreichbar zu machen.

Funktionsweise

Wenn ein Client eine TCP-Verbindung zu einem Server aufbauen möchte, führen der Client und der Server einen so genannten Dreiwege-Handshake durch, um die Verbindung einzurichten. Der normale Ablauf, wie in der Abbildung zu sehen, ist dabei folgender:

  1. Client an Server: Paket mit Flag SYN, Abgleichen (synchronize).
  2. Server an Client: Paket mit Flags SYN, ACK, Abgleichen bestätigt (synchronize acknowledge).
  3. Client an Server: Paket mit Flag ACK, Bestätigt (acknowledge); Die Verbindung ist nun hergestellt.

Ein böswilliger Client kann die letzte ACK-Nachricht unterschlagen. Der Server wartet einige Zeit auf ein entsprechendes Paket, da es ja auch aufgrund von Verzögerungen verspätet eintreffen könnte.

Während dieser Zeit werden sowohl die Adresse des Clients als auch der Status der noch halb offenen Verbindung im Speicher des Netzwerkstacks vorrätig gehalten, um die Verbindung später vollständig etablieren zu können. Bei allen Betriebssystemen belegt diese so genannte halb offene Verbindung Ressourcen auf dem Server. Da Ressourcen immer begrenzt sind, ist es durch „Flutung“ des Servers mit SYN-Nachrichten möglich, alle diese Ressourcen aufzubrauchen. Sobald dies der Fall ist, können zum Server keine neuen Verbindungen mehr aufgebaut werden, was zur Zugriffsverweigerung (Denial of Service) führt. Die Tatsache, dass SYN-Pakete sehr klein sind und auch ohne großen Rechenaufwand erzeugt werden können, macht diesen Angriff besonders unausgewogen. Der Verteidiger benötigt mehr Ressourcen zur Abwehr als der Angreifer für den Angriff selbst.

Betroffene Ressourcen

Zu den Ressourcen, die betroffen sein können, gehören vor allem die Tabelle, in der die TCP-Verbindungen gespeichert werden, sowie – durch sekundäre Effekte – der Hauptspeicher des Servers. Die sogenannte Backlog queue des TCP-Stacks, die im Falle von zu vielen gleichzeitig aktiven Verbindungen als Warteschlange einspringt, benötigt ebenfalls Speicher. Wenn dem angegriffenen Server der Speicher ausgeht, stürzt er in vielen Fällen ganz oder teilweise ab.

Gegenmaßnahmen

Mögliche Maßnahmen gegen SYN-Floods:

  • Der SYN-Cookies-Mechanismus
  • RST-Cookies
  • Eine Echtzeitanalyse des Angriffs durch eine intelligente Firewall.

Gegen Distributed-Denial-of-Service-Angriffe schützen diese Maßnahmen jedoch unter Umständen nicht.


Wikimedia Foundation.

Игры ⚽ Нужно решить контрольную?

Schlagen Sie auch in anderen Wörterbüchern nach:

  • Syn flood — Le SYN flood est une attaque informatique visant à atteindre un déni de service. Elle s applique dans le cadre du protocole TCP et consiste à envoyer une succession de requêtes SYN vers la cible. Sommaire 1 Principe 2 Historique 3 Contre mesures …   Wikipédia en Français

  • SYN flood — Le SYN flood est une attaque informatique visant à atteindre un déni de service. Elle s applique dans le cadre du protocole TCP et consiste à envoyer une succession de requêtes SYN vers la cible. Sommaire 1 Principe 2 Historique 3 Contre mesures …   Wikipédia en Français

  • SYN flood — A SYN flood is a form of denial of service attack in which an attacker sends a succession of SYN requests to a target s system [RFC 4987 TCP SYN Flooding Attacks and Common Mitigations] .When a client attempts to start a TCP connection to a… …   Wikipedia

  • SYN flood — ● ►en loc. m. ►SECU Attaque consistant à submerger un site de requêtes SYN trafiquées, sans aucune intention d y répondre. Le site visé se retrouve donc à attendre des milliers de réponses qui ne viendront jamais et ne pense plus du tout à servir …   Dictionnaire d'informatique francophone

  • SYN flooding — SYN flood Le SYN flood est une attaque informatique visant à atteindre un déni de service. Elle s applique dans le cadre du protocole TCP et consiste à envoyer une succession de requêtes SYN vers la cible. Sommaire 1 Principe 2 Historique 3… …   Wikipédia en Français

  • Flood — steht für einen technischen Begriff aus dem Internet Relay Chat siehe Flood (IRC) ein Computerspiel aus dem Jahr 1990 siehe Flood (Computerspiel) ein Musikalbum der Band They Might Be Giants siehe Flood (Album) einen Musikproduzenten siehe Flood… …   Deutsch Wikipedia

  • SYN cookies — are the key element of a technique used to guard against SYN flood attacks. Daniel J. Bernstein, the technique s primary inventor, defines SYN Cookies as particular choices of initial TCP sequence numbers by TCP servers. In particular, the use of …   Wikipedia

  • Syn — steht für: die Syn anti Notation in der Chemie die Göttin der Gerechtigkeit in der germanischen Mythologie, siehe Syn (Mythologie) eine griechische Präposition, siehe Altgriechische Präpositionen ein Pseudonym des deutschen Musikproduzenten Peter …   Deutsch Wikipedia

  • SYN-Cookie — Unter SYN Cookies versteht man einen im Jahr 1996 von Daniel J. Bernstein entwickelten Mechanismus zum Schutz vor Denial of Service Angriffen, genauer: SYN Flood Angriffen. Beim Herstellen einer herkömmlichen TCP Verbindung, dem sogenannten Drei… …   Deutsch Wikipedia

  • flood tide — noun 1. the highest point of anything conceived of as growing or developing or unfolding the climax of the artist s career in the flood tide of his success • Syn: ↑climax • Derivationally related forms: ↑climactic (for: ↑ …   Useful english dictionary

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”