DoS (Denial of Service Denial of Service) et DDoS (Distributed Denial of Service Distributed Denial of Service) sont des sites Web des attaques à grande échelle et des menaces de serveurs Web de sécurité. Février 2000, Yahoo, Amazon, CNN et d'autres exemples d'attaques, avait été gravé dans l'histoire des incidents de sécurité majeurs.
SYN Flood attaques en raison de son effet, est devenu le moyen le plus populaire des attaques de DoS et DDoS.
faille TCP SYN protocole à l'aide, en envoyant un grand nombre de demandes de connexion TCP forgé, faite par l'appauvrissement de l'attaquant, incapable de répondre ou faire face à une demande de service normal. Une connexion TCP normale nécessite trois-Way Handshake, le premier client envoie un paquet SYN drapeau, puis le serveur renvoie un paquet SYN / ACK que la demande du client est acceptée, le client final, puis renvoie un ACK de confirmation, Cette connexion TCP complète. Envoyer un paquet de réponse dans le côté serveur, après, si le client n'est pas une confirmation, le serveur va attendre le délai d'attente, l'état de la connexion lors de la demi-espace limité sont conservés dans une file d'attente cache, si un grand nombre de paquets SYN envoyés sur le côté serveur n'a pas de réponse fera côté serveur TCP épuisement rapide des ressources, résultant en une connexion normale ne peut pas entrer, ou même provoquer le crash du serveur.
Pare-feu est généralement utilisé pour protéger le réseau interne de l'accès non autorisé des réseaux externes, qui se trouve entre le client et le serveur, donc utilisez un pare-feu pour prévenir les attaques DoS peut protéger efficacement le serveur interne. Contre SYN Flood, protection pare-feu est généralement de trois façons: SYN Gateway, Gateway, et SYN SYN relais passif.
paquet SYN passerelle pare-feu client SYN reçu, le directement transmises au serveur; pare-feu avant que le serveur paquet SYN / ACK, la main sera SYN / transmission de paquets ACK au client, d'autre part au nom du client pour le bouclage du serveur un paquet ACK pour terminer la connexion TCP à trois voies, l'état de la connexion au serveur et demi dans l'état de la connexion. Lorsque le client le paquet ACK arrive réel, les données sont transmises au serveur, sinon éliminer le paquet. Parce que le serveur peut supporter l'état de la connexion est beaucoup plus élevé que le semi-connecté, cette méthode peut réduire efficacement l'attaque sur le serveur.
SYN SYN passive Gateway demande de définir les paramètres de pare-feu de délai d'attente, il est beaucoup plus petite que la période de délai d'attente du serveur. Pare-feu client est responsable de la transmission des paquets SYN envoyés au serveur, le serveur a envoyé à SYN du client / ACK, et paquet ACK du client envoyé au serveur. Ainsi, si le client lors de l'expiration de la minuterie dans le pare-feu de ne pas envoyer les paquets ACK, le pare-feu envoie des paquets RST sur le serveur, le serveur de la file d'attente par la suppression de la demi-connexion. Comme le paramètre timeout firewall est beaucoup plus petit que le délai d'attente pour le serveur, il permet de prévenir efficacement les attaques SYN Flood.
SYN relais pare-feu reçues après paquets du client SYN n'est pas transmis au serveur, mais ensuite prendre l'initiative d'enregistrer les informations d'état au client d'envoyer paquet SYN / ACK, si le paquet ACK le client a reçu, cette visite est une visite normale par le pare-feu envoyer des paquets SYN au serveur, et remplissez le three-way handshake. Cet agent est utilisé par le pare-feu comme un client et côté serveur de connexion, vous ne pouvez pas filtrer complètement envoyé au serveur de la connexion.