www.wikidata.de-de.nina.az

SYN Flood Ein ist eine Form der Denial of Service Attacke DoS auf Computersysteme Der Angriff verwendet den Verbindungsa

SYN-Flood

Ein SYN-Flood ist eine Form der Denial-of-Service-Attacke (DoS) auf Computersysteme. Der Angriff verwendet den Verbindungsaufbau des TCP-Transportprotokolls, um einzelne Dienste oder ganze Computer aus dem Netzwerk unerreichbar zu machen.

Erfolgreicher TCP-Handshake
Der Angreifer (grün) sendet viele SYN-, jedoch keine ACK-Pakete. Durch die halboffenen Verbindungen wird der Server so sehr ausgelastet, dass die Anfrage eines normalen Benutzers (lila) nicht bearbeitet werden kann.

Funktionsweise Bearbeiten

Wenn ein Client eine TCP-Verbindung zu einem Server aufbauen möchte, führen der Client und der Server einen so genannten Threeway-Handshake durch, um die Verbindung einzurichten. Der normale Ablauf, wie in der Abbildung zu sehen, ist dabei folgender:

  1. Client an Server: Paket mit Flag SYN, Abgleichen (synchronize).
  2. Server an Client: Paket mit Flags SYN, ACK, Abgleichen bestätigt (synchronize acknowledge).
  3. Client an Server: Paket mit Flag ACK, Bestätigt (acknowledge); Die Verbindung ist nun hergestellt.

Ein böswilliger Client kann die letzte ACK-Nachricht unterschlagen. Der Server wartet einige Zeit auf ein entsprechendes Paket, da es auch aufgrund von Verzögerungen verspätet eintreffen könnte.

Während dieser Zeit werden sowohl die Adresse des Clients als auch der Status der noch halb offenen Verbindung im Speicher des Netzwerkstacks vorrätig gehalten, um die Verbindung später vollständig etablieren zu können. Bei allen Betriebssystemen belegt diese so genannte halb offene Verbindung Ressourcen auf dem Server. Da Ressourcen immer begrenzt sind, ist es durch „Flutung“ des Servers mit SYN-Nachrichten möglich, alle diese Ressourcen aufzubrauchen. Sobald dies der Fall ist, können zum Server keine neuen Verbindungen mehr aufgebaut werden, was zur Zugriffsverweigerung (Denial of Service) führt. Die Tatsache, dass SYN-Pakete sehr klein sind und auch ohne großen Rechenaufwand erzeugt werden können, macht diesen Angriff besonders unausgewogen. Der Verteidiger benötigt mehr Ressourcen zur Abwehr als der Angreifer für den Angriff selbst.

SYN-Flood-Reflection-Attacke Bearbeiten

Eine Variante stellt die SYN-Flood-Reflection-Attacke dar, welche zu den Distributed-Denial-of-Service-Angriffen (DDoS) zählt. Bei diesem Angriff steht nicht die Auslastung eines Servers mit vielen halboffenen TCP-Verbindungen im Vordergrund, sondern es wird eine Vielzahl von Servern mit einer pro Server eher schwachen SYN-Flood vom Angreifer missbraucht, um die so ausgelösten Antworten (SYN-ACK-Pakete) an die vermeintlichen Absender zu schicken. Im Prinzip ist es für diesen Angriff ausreichend, wenn auf vielen Servern jeweils ein oder mehrere TCP-Ports allgemein erreichbar sind, egal welcher Dienst darauf angeboten wird. Da die Anzahl der TCP-SYN-Pakete pro Server meist vom Angreifer bewusst gering gehalten wird, kann unter Umständen die SYN-Flood-Reflection-Attacke an dem als Reflektor missbrauchten Server gar nicht auffallen.

Für den SYN-Flood-Reflection-Angriff muss der Angreifer über Möglichkeiten verfügen seine Absenderadresse der SYN-Pakete gezielt fälschen zu können. Er muss seine IP-Absenderadressen aus dem eigentlichen, anzugreifenden IP-Bereich wählen. Ist die Anzahl der als Reflektoren missbrauchten Server groß genug, kommt es zu einer Konzentration von einer hohen Anzahl von SYN-ACK-Paketen im attackierten Netzwerk. Das Ziel ist dabei eine allgemeine Netzwerküberlastung zu bewirken.

Der Vorteil der SYN-Flood-Reflection-Attacke für den Angreifer besteht in dem Umstand, dass es zu einem Verstärkungsfaktor kommt. Jeder der vielen einzelnen Server, welche als Reflektor missbraucht werden, antwortet im Regelfall auf ein initiales SYN-Paket nicht nur mit einem einzigen SYN-ACK-Paket, sondern wiederholt diesen Vorgang. Übliche Werte sind fünf bis sieben Wiederholungen, teilweise sind auch höhere Werte erzielbar. Damit kann ein Angreifer im eigentlichen anzugreifenden Zielnetz eine Verstärkung um einen Faktor deutlich über eins erzielen und somit effizienter das attackierte Netzwerk durch Überlastung lahm legen als es mit einem direkten Angriff möglich wäre.

Betroffene Ressourcen Bearbeiten

Zu den Ressourcen, die betroffen sein können, gehören vor allem die Tabelle, in der die TCP-Verbindungen gespeichert werden. Durch sekundäre Effekte kann ferner der Hauptspeicher des Servers betroffen sein. Die sogenannte backlog queue des TCP-Stacks, die im Falle von zu vielen gleichzeitig aktiven Verbindungen als Warteschlange einspringt, benötigt ebenfalls Speicher.

Gegenmaßnahmen Bearbeiten

Mögliche Maßnahmen gegen SYN-Floods auf Serverseite sind:

  • Der SYN-Cookies-Mechanismus
  • RST-Cookies
  • Eine Echtzeitanalyse des Angriffs durch eine intelligente Firewall, welche verdächtige Angriffsmuster automatisch erkennt.
  • Proxy Server
  • Recyceln der ältesten halb-offenen TCP Verbindung
  • SYN Cache

Gegen Distributed-Denial-of-Service-Angriffe (DDoS) schützen diese Maßnahmen jedoch unter Umständen nicht. Generell sind effektive Abwehrmethoden auf den übergeordneten Netzwerkebenen wie dem Backbone, wie beispielsweise der Einsatz von Ingress-Filtern, umzusetzen.

Varianten Bearbeiten

Manche der oben genannten Gegenmaßnahmen können umgangen werden. Dies geschieht meist durch zufällige Werte im TCP/IP-Header.

Mögliche Methoden:

  • Bei jedem Paket eine andere Absender-IP-Adresse verwenden (durch IP-Spoofing)
  • Unterschiedlich lange Pausen zwischen den einzelnen Paketen
  • Zufällige Absenderports
  • Zufälliges hinzufügen anderer TCP-Flags

Weblinks Bearbeiten

Einzelnachweise Bearbeiten

  1. Marc Kührer, Thomas Hupperich, Christian Rossow, Thorsten Holz: Hell of a Handshake: Abusing TCP for Reflective Amplification DDoS Attacks. Horst Görtz Institute for IT-Security, Ruhr-University Bochum, abgerufen am 1. November 2019.
wikipedia, wiki, deutsches, deutschland, buch, bücher, bibliothek artikel lesen, herunterladen kostenlos kostenloser herunterladen, MP3, Video, MP4, 3GP, JPG, JPEG, GIF, PNG, Bild, Musik, Lied, Film, Buch, Spiel, Spiele
Veröffentlichungsdatum:
Ein SYN Flood ist eine Form der Denial of Service Attacke DoS auf Computersysteme Der Angriff verwendet den Verbindungsaufbau des TCP Transportprotokolls um einzelne Dienste oder ganze Computer aus dem Netzwerk unerreichbar zu machen Erfolgreicher TCP HandshakeDer Angreifer grun sendet viele SYN jedoch keine ACK Pakete Durch die halboffenen Verbindungen wird der Server so sehr ausgelastet dass die Anfrage eines normalen Benutzers lila nicht bearbeitet werden kann Inhaltsverzeichnis 1 Funktionsweise 2 SYN Flood Reflection Attacke 3 Betroffene Ressourcen 4 Gegenmassnahmen 5 Varianten 6 Weblinks 7 EinzelnachweiseFunktionsweise BearbeitenWenn ein Client eine TCP Verbindung zu einem Server aufbauen mochte fuhren der Client und der Server einen so genannten Threeway Handshake durch um die Verbindung einzurichten Der normale Ablauf wie in der Abbildung zu sehen ist dabei folgender Client an Server Paket mit Flag SYN Abgleichen synchronize Server an Client Paket mit Flags SYN ACK Abgleichen bestatigt synchronize acknowledge Client an Server Paket mit Flag ACK Bestatigt acknowledge Die Verbindung ist nun hergestellt Ein boswilliger Client kann die letzte ACK Nachricht unterschlagen Der Server wartet einige Zeit auf ein entsprechendes Paket da es auch aufgrund von Verzogerungen verspatet eintreffen konnte Wahrend dieser Zeit werden sowohl die Adresse des Clients als auch der Status der noch halb offenen Verbindung im Speicher des Netzwerkstacks vorratig gehalten um die Verbindung spater vollstandig etablieren zu konnen Bei allen Betriebssystemen belegt diese so genannte halb offene Verbindung Ressourcen auf dem Server Da Ressourcen immer begrenzt sind ist es durch Flutung des Servers mit SYN Nachrichten moglich alle diese Ressourcen aufzubrauchen Sobald dies der Fall ist konnen zum Server keine neuen Verbindungen mehr aufgebaut werden was zur Zugriffsverweigerung Denial of Service fuhrt Die Tatsache dass SYN Pakete sehr klein sind und auch ohne grossen Rechenaufwand erzeugt werden konnen macht diesen Angriff besonders unausgewogen Der Verteidiger benotigt mehr Ressourcen zur Abwehr als der Angreifer fur den Angriff selbst SYN Flood Reflection Attacke BearbeitenEine Variante stellt die SYN Flood Reflection Attacke dar welche zu den Distributed Denial of Service Angriffen DDoS zahlt 1 Bei diesem Angriff steht nicht die Auslastung eines Servers mit vielen halboffenen TCP Verbindungen im Vordergrund sondern es wird eine Vielzahl von Servern mit einer pro Server eher schwachen SYN Flood vom Angreifer missbraucht um die so ausgelosten Antworten SYN ACK Pakete an die vermeintlichen Absender zu schicken Im Prinzip ist es fur diesen Angriff ausreichend wenn auf vielen Servern jeweils ein oder mehrere TCP Ports allgemein erreichbar sind egal welcher Dienst darauf angeboten wird Da die Anzahl der TCP SYN Pakete pro Server meist vom Angreifer bewusst gering gehalten wird kann unter Umstanden die SYN Flood Reflection Attacke an dem als Reflektor missbrauchten Server gar nicht auffallen Fur den SYN Flood Reflection Angriff muss der Angreifer uber Moglichkeiten verfugen seine Absenderadresse der SYN Pakete gezielt falschen zu konnen Er muss seine IP Absenderadressen aus dem eigentlichen anzugreifenden IP Bereich wahlen Ist die Anzahl der als Reflektoren missbrauchten Server gross genug kommt es zu einer Konzentration von einer hohen Anzahl von SYN ACK Paketen im attackierten Netzwerk Das Ziel ist dabei eine allgemeine Netzwerkuberlastung zu bewirken Der Vorteil der SYN Flood Reflection Attacke fur den Angreifer besteht in dem Umstand dass es zu einem Verstarkungsfaktor kommt Jeder der vielen einzelnen Server welche als Reflektor missbraucht werden antwortet im Regelfall auf ein initiales SYN Paket nicht nur mit einem einzigen SYN ACK Paket sondern wiederholt diesen Vorgang Ubliche Werte sind funf bis sieben Wiederholungen teilweise sind auch hohere Werte erzielbar 1 Damit kann ein Angreifer im eigentlichen anzugreifenden Zielnetz eine Verstarkung um einen Faktor deutlich uber eins erzielen und somit effizienter das attackierte Netzwerk durch Uberlastung lahm legen als es mit einem direkten Angriff moglich ware Betroffene Ressourcen BearbeitenZu den Ressourcen die betroffen sein konnen gehoren vor allem die Tabelle in der die TCP Verbindungen gespeichert werden Durch sekundare Effekte kann ferner der Hauptspeicher des Servers betroffen sein Die sogenannte backlog queue des TCP Stacks die im Falle von zu vielen gleichzeitig aktiven Verbindungen als Warteschlange einspringt benotigt ebenfalls Speicher Gegenmassnahmen BearbeitenMogliche Massnahmen gegen SYN Floods auf Serverseite sind Der SYN Cookies Mechanismus RST Cookies Eine Echtzeitanalyse des Angriffs durch eine intelligente Firewall welche verdachtige Angriffsmuster automatisch erkennt Proxy Server Recyceln der altesten halb offenen TCP Verbindung SYN CacheGegen Distributed Denial of Service Angriffe DDoS schutzen diese Massnahmen jedoch unter Umstanden nicht Generell sind effektive Abwehrmethoden auf den ubergeordneten Netzwerkebenen wie dem Backbone wie beispielsweise der Einsatz von Ingress Filtern umzusetzen Varianten BearbeitenManche der oben genannten Gegenmassnahmen konnen umgangen werden Dies geschieht meist durch zufallige Werte im TCP IP Header Mogliche Methoden Bei jedem Paket eine andere Absender IP Adresse verwenden durch IP Spoofing Unterschiedlich lange Pausen zwischen den einzelnen Paketen Zufallige Absenderports Zufalliges hinzufugen anderer TCP FlagsWeblinks BearbeitenAnalyse einer auf SYN Flood basierenden Distributed Reflection Denial of Service Attacke Memento vom 9 Januar 2008 im Internet Archive Einzelnachweise Bearbeiten a b Marc Kuhrer Thomas Hupperich Christian Rossow Thorsten Holz Hell of a Handshake Abusing TCP for Reflective Amplification DDoS Attacks Horst Gortz Institute for IT Security Ruhr University Bochum abgerufen am 1 November 2019 Abgerufen von https de wikipedia org w index php title SYN Flood amp oldid 193803726