DoS (Denial of Service "Denial of Service) und DDoS (Distributed Denial of Service Distributed Denial of Service)-Attacken sind groß angelegte Websites und Web-Server Sicherheitsbedrohungen. Februar 2000, Yahoo, Amazon hatte, CNN und andere Beispiele von Angriffen, in der Geschichte der wichtigsten Sicherheitsvorfälle geschnitzt worden.
SYN-Flood-Attacken wegen seiner Wirkung, hat sich zum beliebtesten mittels DoS-und DDoS-Attacken.
TCP-SYN-Flood-Protokoll mit Fehler, sendet eine große Anzahl von gefälschten TCP-Verbindung wünscht, durch Abbau der angreifenden Mannschaft gemacht, nicht zu umgehen oder reagieren mit einem normalen Service-Anfrage. Eine normale TCP-Verbindung erfordert Drei-Wege-Handshake, der erste Client sendet ein SYN-Paket Flagge, dann liefert der Server ein SYN / ACK-Antwort-Paket, das dem Wunsch des Kunden akzeptiert wird, die endgültige Client wieder eine Bestätigung ACK-Paket, Diese vollständige TCP-Verbindung. Senden Sie eine Antwort-Paket in der Server-Seite nach, wenn der Client keine Bestätigung, wird der Server, bis das Zeitlimit, während der halb-connected Staates zu warten sind, in einem begrenzten Raum des Cache-Warteschlange gehalten, wenn eine große Anzahl von SYN-Pakete an den Server-Seite gibt es keine Reaktion nach wird der Server-Seite TCP rasche Erschöpfung der Ressourcen zu machen, was eine normale Verbindung nicht eingeben können, oder sogar dazu führen, den Server zum Absturz bringen.
Firewall ist in der Regel verwendet, um das interne Netz vor unbefugtem Zugriff schützen externen Netzwerken, die zwischen Client und Server befindet, so eine Firewall verwenden, um DoS-Angriffe zu verhindern effektiv schützen kann den internen Server. Gegen SYN Flood, ist Firewall-Schutz in der Regel drei Möglichkeiten: SYN Gateway, Gateway und SYN SYN passive Relais.
SYN Gateway Firewall Client-SYN-Paket erhalten, das direkt an den Server übertragen, Firewall, bevor der Server SYN / ACK-Paket, wird die Hand SYN / ACK-Paket-Weiterleitung an den Client, auf der anderen Seite auf den Namen des Client zum Server Loopback werden ein ACK-Paket an den TCP-Drei-Wege-Handshake abgeschlossen ist, den Status der Verbindung zum Server-Seite und eine Hälfte in den Zustand der Verbindung. Wenn der Client die wirkliche ACK-Paket eintrifft, werden die Daten an den Server übertragen, ansonsten das Paket verwerfen. Da der Server den Status der Verbindung tragen kann, ist viel höher als die semi-verbunden, so kann diese Methode effektiv reduzieren den Angriff auf den Server.
Passive SYN SYN Gateway Anfrage an die Firewall-Time-Out-Parameter einzustellen, es ist viel kleiner als der Server Time-Out-Periode. Firewall Client ist verantwortlich für die Weiterleitung der SYN-Paket an den Server gesendet, gesendet Server auf den Client-SYN / ACK-Paket, und die Client-ACK-Paket an den Server gesendet. So, wenn der Kunde, wenn der Timer in der Firewall läuft nicht auf ACK-Pakete senden, die Firewall sendet RST-Pakete an den Server, so dass der Server aus der Warteschlange durch Streichung der semi-Verbindung. Da die Firewall-Timeout-Parameter ist viel kleiner als das Zeitlimit für den Server, so kann es effektiv verhindern SYN Flood-Attacken.
SYN-Relay-Firewall, die nach dem Client-SYN-Paket wird nicht an den Server weitergeleitet, dann aber die Initiative ergreifen, um die Status-Informationen zurück an den Client Datensatz SYN / ACK-Paket zu senden, wenn die empfangene Kunden ACK-Paket, das ist ein normaler Besuch durch die Firewall Senden SYN-Pakete an den Server und füllen Sie das Drei-Wege-Handshake. Dieser Agent von der Firewall als Client-und Server-Side-Verbindung verwendet wird, kann man nicht komplett auf dem Server mit der Verbindung gesendet Filter.