DoS (Denegación de Servicio de Denegación de Servicio) y DDoS (Distributed Denial of Service Distributed Denial of Service) los ataques son los sitios web a gran escala y las amenazas de seguridad del servidor web. Febrero de 2000, Yahoo, Amazon, CNN y otros ejemplos de ataques, había sido tallada en la historia de los incidentes de seguridad importantes.
SYN ataques de inundación debido a su efecto, se ha convertido en el medio más popular de DoS y DDoS.
TCP SYN inundaciones error de protocolo Uso, el envío de un gran número de solicitudes de conexión TCP falsificado, hecho por el agotamiento de la parte atacante, incapaz de responder o hacer frente a una solicitud de servicio normal. Una conexión TCP normal requiere de tres vías apretón de manos, el primer cliente envía un paquete SYN flag, entonces el servidor devuelve un SYN / ACK paquete de respuesta que la solicitud del cliente es aceptada, el cliente final un nuevo paquete ACK de confirmación, Esto completa la conexión TCP. Enviar un paquete de respuesta en el lado del servidor, después, si el cliente no es una confirmación, el servidor esperará a tiempo de espera, durante el semi-conectados se mantienen en una cola en el espacio de caché es limitado, y si grandes paquetes SYN envía al servidor no hay respuesta después de hará que el lado del servidor TCP rápido agotamiento de los recursos, resultando en una conexión normal no puede entrar, o incluso causar la caída del servidor.
Servidor de seguridad se utiliza generalmente para proteger la red interna desde redes externas acceso no autorizado, que se encuentra entre el cliente y el servidor, así que utilice un servidor de seguridad para prevenir ataques DoS pueden proteger eficazmente el servidor interno. Contra inundaciones SYN, protección de firewall suele ser de tres maneras: SYN Gateway, Gateway, y SYN SYN relé pasivo.
paquete SYN Gateway Client Firewall de SYN recibido, la transmite directamente al servidor, servidor de seguridad antes que el servidor paquete SYN / ACK, la mano se SYN / reenvío de paquetes ACK al cliente, en cambio al nombre del cliente para el bucle invertido servidor un paquete ACK para completar el protocolo de enlace TCP de tres vías, el estado de la conexión a otro servidor y medio en el estado de conexión. Cuando el cliente el paquete ACK real llega, los datos se transmiten al servidor, de lo contrario descartar el paquete. Dado que el servidor puede soportar el estado de la conexión es mucho mayor que la semi-conectado, así que este método puede reducir efectivamente el ataque en el servidor.
Pasivo SYN SYN Gateway solicitud para ajustar los parámetros de servidor de seguridad de tiempo de espera, es mucho más pequeño que el servidor de tiempo de espera. Cliente firewall se encarga de reenviar el paquete SYN envía al servidor, el servidor envía a SYN del cliente / ACK, y el paquete ACK cliente envía al servidor. Así, si el cliente cuando se cumpla el plazo en el firewall no enviar los paquetes ACK, el firewall está enviando paquetes RST al servidor, para que el servidor de la cola mediante la supresión de la semi-conexión. Como el parámetro de tiempo de espera firewall es mucho menor que el período de tiempo de espera para el servidor, por lo que puede prevenir con eficacia los ataques SYN Flood.
SYN firewall de Enlace recibió después el paquete del cliente SYN no se transmite al servidor, pero luego tome la iniciativa para registrar la información de estado de vuelta al cliente para enviar paquete SYN / ACK, si el paquete el cliente recibió el ACK, es una visita normal por el firewall enviar paquetes SYN al servidor y completar el acuerdo de tres vías. Este agente es utilizado por el servidor de seguridad como un cliente y la conexión del lado del servidor, no se pueden filtrar por completo se envía al servidor con la conexión.