Tấn công SYN flood là gì? Cách giảm thiểu tấn công

Trong những năm qua SYN flood attack đã gây ra nhiều trở ngại, bất lợi cho hệ thống mạng và server của các đơn vị, tổ chức. Vậy SYN flood attack là gì và làm thế nào để chống lại nó? Bài viết dưới đây BKHOST sẽ giải đáp những thắc mắc đó giúp bạn.

SYN flood attack là gì?

SYN flood (half-open attack) là một kiểu tấn công từ chối dịch vụ (DDos) phổ biến   có thể nhắm mục tiêu vào bất kỳ hệ thống nào được kết nối với Internet và và cung cấp các dịch vụ sử dụng giao thức TCP (ví dụ: máy chủ web, máy chủ email, truyền tệp). Bằng cách tiêu thụ hết tài nguyên có sẵn ở server loại tấn công này sẽ làm cho server không có đủ lưu lượng để có thể truy cập hợp pháp.

Kẻ tấn công sẽ gửi liên tục các gói packet yêu cầu kết nối tới server để áp đảo hầu hết các cổng có sẵn trên server. Hành động này sẽ khiến thiết bị được nhắm mục tiêu phản hồi với lưu lượng hợp pháp một cách chậm chạp hoặc hoàn toàn không .

Cách thức hoạt động của một cuộc tấn công SYN flood

Một cuộc tấn công SYN xảy ra ngập tràn, lũ lượt nhờ vào việc khai thác quá trình bắt tay ba chiều TCP. Quy trình để tạo kết nối trong điều kiện bình thường của kết nối TCP diễn ra trong ba bước:

1. Client gửi một gói packet tin SYN đến server để tiến hành kết nối.
2. Server xác nhận giao tiếp với gói packet tin SYN bằng gói packet SYN/ACK.
3. Client xác nhận đã nhận gói tin từ server bằng cách trả về một gói ACK. Hoàn tất các thao tác này kết nối TCP sẻ mở để gửi và nhận dữ liệu.

Thực tế ngay sau khi nhận được gói packet SYN từ Client thì kẻ tấn công sẽ bắt đầu tạo cuộc tấn công từ DoS. Một hoặc nhiều gói packet SYN/ACK được server gửi đi và đợi đến bước sau cùng của quy trình Handshake. Cách thức tiến hành diễn ra cụ thể như sau:

1. Một khối lượng lớn packet tin SYN mà chủ yếu là địa chỉ IP giả mạo được kẻ tấn công gửi đến server.
2. Các yêu cầu kết nối lần lượt được server trả lời, serve sẽ để lại một cổng mở sẵn sàng nhận phản hồi.
3. Server đợi packet ACK tới thế nhưng gói này sẽ không bao giờ đến. Trong khi đó kẻ tấn công liên tục gửi các gói packet SYN và chính điều đó khiến server phải duy trì kết nối cổng mở mới trong một khoảng thời gian. Và điều tồi tệ xảy đến là khi các cổng có sẵn được sử dụng thì server không còn hoạt động như trước đây được nữa.

Trong mạng khi server đang để một kết nối mở trong khi đó client lại không thì được gọi là kiểu kết nối half – open. Với kiểu tấn công DDoS, server trở thành mục tiêu liên tục và bắt buộc nó phải duy trì một kết nối mở trước khi các cổng hoạt động trở lại. Kết quả của kiểu tấn công này còn được gọi là tấn công half – open.

3 cách tấn công SYN

Tấn công trực tiếp

Một cuộc tấn công SYN trực tiếp khi mà kẻ tấn công không giả mạo địa chỉ IP. Để tạo ra cuộc tấn công chúng sẽ sử dụng một thiết bị nguồn duy nhất với IP thực, vì lẽ đó mà chúng rất dễ bị phát hiện và giảm thiểu.

Tấn công giả mạo

Để ngăn chặn những nỗ lực giảm thiểu và che dấu danh tính, kẻ tấn công sẽ giả mạo địa chỉ IP trên các gói packet SYN mà chúng gửi tới server. Để có thể truy ngược trở lại nguồn gốc của các gói tin không phải là điều dễ dàng. Tuy nhiên nếu có sự giúp đỡ của các nhà cung cấp dịch vụ Internet thì hoàn toàn có thể thực hiện được.

Tấn công phân tán

Khả năng thành công của cách tấn công phân tán DDoS rất cao bởi nó được tạo ra bằng mạng botnet và để theo dõi nguồn gốc là điều khá khó khăn. Với sự xáo trộn và che dấu được thêm vào, kẻ tấn công sẽ có các thiết bị phân tán đồng thời giả mạo các địa chỉ IP trên các gói packet.

Giảm thiểu cuộc tấn công SYN bằng cách nào?

Có nhiều con đường để giảm thiểu cuộc tấn công SYN. Tuy nhiên trong số đó có 3 phương án tối ưu được nhiều đơn vị, tổ chức sử dụng, cụ thể:

Tăng hàng đợi Backlog

Hệ điều hành của thiết bị mà kẻ xấu nhắm vào sẽ có một số kết nối half – open cho phép. Tăng số lượng kết nối half – open là một cách hay để giảm thiểu tấn công SYN. Và để tăng backlog tồn đọng thì hệ thống phải dự trữ thêm bộ nhớ. Nếu bộ nhớ không đủ để xử lý backlog tồn đọng thì hiệu suất làm việc của hệ thống bị ảnh hưởng. Thế nhưng điều này cũng tốt hơn so với từ chối dịch vụ.

Tái chế kết nối TCP Half-Open cũ

Sau khi backlog được lấp đầy thì lặp lại kết nối half – open TCP cũ là một chiến lược để giảm thiểu cuộc tấn công SYN. Cách thức này yêu cầu trong một thời gian ngắn các kết nối hợp pháp được thiết lập thay vì backlog sẽ chứa nhiều gói SYN độc hại. Tuy nhiên phương án này sẽ thất bại khi các cuộc tấn công trở nên mạnh mẽ hoặc kích thước backlog quá nhỏ.

SYN cookie

Tạo ra một cookie của server là một chiến lược hay ho để hạn chế sự tấn công lũ lượt của SYN. Server sẽ dùng gói packet SYN – ACK để phản hồi từng kết nối và xóa yêu cầu SYN ra khỏi backlog, để port mở sẵn sàng tạo kết nối mới. Hành động này nhằm mục đích tránh rủi ro rớt kết nối khi mà backlog đã được lấp đầy.

Nếu gói ACK cuối cùng được chuyển từ client tới server và kết nối đó là một yêu cầu hợp pháp thì server sẽ xây dựng lại SYN backlog. Hạn chế của cách nói trên là làm một số thông tin về kết nối TCP bị mất đi nhưng vẫn tốt hơn khi bị tấn công từ chối dịch vụ.

Tổng kết về tấn công SYN

Trên đây chúng tôi đã giải đáp những vướng mắc liên quan tới SYN flood attack. Hy vọng với thông tin có được bạn sẽ chủ động hơn trong việc phòng tránh cuộc tấn công này để bảo vệ hệ thống mạng của tổ chức được an toàn.

Nếu còn gặp bất cứ vướng mắc gì về tấn công SYN, hãy để lại ở bên bình luận bên dưới, BKHOST sẽ trả lời bạn trong thời gian sớm nhất.

P/s: Bạn cũng có thể truy cập vào Blog của BKHOST để đọc thêm các bài viết chia sẻ kiến thức về lập trình, quản trị mạng, website, domain, hosting, vps, server, email,… Chúc bạn thành công.