- Tổng đài 24/7: 1800 646 881
- Đăng nhập
- 3
Trong những năm qua SYN flood attack đã gây ra nhiều trở ngại, bất lợi cho hệ thống mạng và server của các đơn vị, tổ chức. Vậy SYN flood attack là gì và làm thế nào để chống lại nó? Bài viết dưới đây BKHOST sẽ giải đáp những thắc mắc đó giúp bạn.
SYN flood (half-open attack) là một kiểu tấn công từ chối dịch vụ (DDos) phổ biến có thể nhắm mục tiêu vào bất kỳ hệ thống nào được kết nối với Internet và và cung cấp các dịch vụ sử dụng giao thức TCP (ví dụ: máy chủ web, máy chủ email, truyền tệp). Bằng cách tiêu thụ hết tài nguyên có sẵn ở server loại tấn công này sẽ làm cho server không có đủ lưu lượng để có thể truy cập hợp pháp.
Kẻ tấn công sẽ gửi liên tục các gói packet yêu cầu kết nối tới server để áp đảo hầu hết các cổng có sẵn trên server. Hành động này sẽ khiến thiết bị được nhắm mục tiêu phản hồi với lưu lượng hợp pháp một cách chậm chạp hoặc hoàn toàn không .
Một cuộc tấn công SYN xảy ra ngập tràn, lũ lượt nhờ vào việc khai thác quá trình bắt tay ba chiều TCP. Quy trình để tạo kết nối trong điều kiện bình thường của kết nối TCP diễn ra trong ba bước:
Thực tế ngay sau khi nhận được gói packet SYN từ Client thì kẻ tấn công sẽ bắt đầu tạo cuộc tấn công từ DoS. Một hoặc nhiều gói packet SYN/ACK được server gửi đi và đợi đến bước sau cùng của quy trình Handshake. Cách thức tiến hành diễn ra cụ thể như sau:
Trong mạng khi server đang để một kết nối mở trong khi đó client lại không thì được gọi là kiểu kết nối half – open. Với kiểu tấn công DDoS, server trở thành mục tiêu liên tục và bắt buộc nó phải duy trì một kết nối mở trước khi các cổng hoạt động trở lại. Kết quả của kiểu tấn công này còn được gọi là tấn công half – open.
Một cuộc tấn công SYN trực tiếp khi mà kẻ tấn công không giả mạo địa chỉ IP. Để tạo ra cuộc tấn công chúng sẽ sử dụng một thiết bị nguồn duy nhất với IP thực, vì lẽ đó mà chúng rất dễ bị phát hiện và giảm thiểu.
Để ngăn chặn những nỗ lực giảm thiểu và che dấu danh tính, kẻ tấn công sẽ giả mạo địa chỉ IP trên các gói packet SYN mà chúng gửi tới server. Để có thể truy ngược trở lại nguồn gốc của các gói tin không phải là điều dễ dàng. Tuy nhiên nếu có sự giúp đỡ của các nhà cung cấp dịch vụ Internet thì hoàn toàn có thể thực hiện được.
Khả năng thành công của cách tấn công phân tán DDoS rất cao bởi nó được tạo ra bằng mạng botnet và để theo dõi nguồn gốc là điều khá khó khăn. Với sự xáo trộn và che dấu được thêm vào, kẻ tấn công sẽ có các thiết bị phân tán đồng thời giả mạo các địa chỉ IP trên các gói packet.
Có nhiều con đường để giảm thiểu cuộc tấn công SYN. Tuy nhiên trong số đó có 3 phương án tối ưu được nhiều đơn vị, tổ chức sử dụng, cụ thể:
Hệ điều hành của thiết bị mà kẻ xấu nhắm vào sẽ có một số kết nối half – open cho phép. Tăng số lượng kết nối half – open là một cách hay để giảm thiểu tấn công SYN. Và để tăng backlog tồn đọng thì hệ thống phải dự trữ thêm bộ nhớ. Nếu bộ nhớ không đủ để xử lý backlog tồn đọng thì hiệu suất làm việc của hệ thống bị ảnh hưởng. Thế nhưng điều này cũng tốt hơn so với từ chối dịch vụ.
Sau khi backlog được lấp đầy thì lặp lại kết nối half – open TCP cũ là một chiến lược để giảm thiểu cuộc tấn công SYN. Cách thức này yêu cầu trong một thời gian ngắn các kết nối hợp pháp được thiết lập thay vì backlog sẽ chứa nhiều gói SYN độc hại. Tuy nhiên phương án này sẽ thất bại khi các cuộc tấn công trở nên mạnh mẽ hoặc kích thước backlog quá nhỏ.
Tạo ra một cookie của server là một chiến lược hay ho để hạn chế sự tấn công lũ lượt của SYN. Server sẽ dùng gói packet SYN – ACK để phản hồi từng kết nối và xóa yêu cầu SYN ra khỏi backlog, để port mở sẵn sàng tạo kết nối mới. Hành động này nhằm mục đích tránh rủi ro rớt kết nối khi mà backlog đã được lấp đầy.
Nếu gói ACK cuối cùng được chuyển từ client tới server và kết nối đó là một yêu cầu hợp pháp thì server sẽ xây dựng lại SYN backlog. Hạn chế của cách nói trên là làm một số thông tin về kết nối TCP bị mất đi nhưng vẫn tốt hơn khi bị tấn công từ chối dịch vụ.
Trên đây chúng tôi đã giải đáp những vướng mắc liên quan tới SYN flood attack. Hy vọng với thông tin có được bạn sẽ chủ động hơn trong việc phòng tránh cuộc tấn công này để bảo vệ hệ thống mạng của tổ chức được an toàn.
Nếu còn gặp bất cứ vướng mắc gì về tấn công SYN, hãy để lại ở bên bình luận bên dưới, BKHOST sẽ trả lời bạn trong thời gian sớm nhất.
P/s: Bạn cũng có thể truy cập vào Blog của BKHOST để đọc thêm các bài viết chia sẻ kiến thức về lập trình, quản trị mạng, website, domain, hosting, vps, server, email,… Chúc bạn thành công.
Thuê VPS Giá Rẻ tại BKHOST
Khuyến mãi giảm giá cực sâu, chỉ từ 62k/tháng. Đăng ký ngay hôm nay: