DoS (Denial of Service Denial of Service) e DDoS (Distributed Denial of Service Distributed Denial of Service), gli attacchi sono siti web su larga scala e di minacce alla sicurezza web server. Febbraio 2000, Yahoo, Amazon, CNN e altri esempi di attentati, erano state scolpite nella storia degli incidenti di sicurezza più importanti.
SYN Flood attacchi a causa dei suoi effetti, è diventato il più popolare mezzo di attacchi DoS e attacchi DDoS.
TCP SYN Flood protocollo utilizzando difetto, l'invio di un gran numero di richieste di connessione TCP forgiato, con l'esaurimento della squadra avversaria, incapace di rispondere o di trattare con una richiesta di servizio normale. Una normale connessione TCP richiede three-way handshake, il primo client invia un pacchetto contenente flag SYN, il server restituisce un pacchetto SYN / ACK di risposta che la richiesta del cliente viene accettata, il cliente finale e quindi restituisce un pacchetto ACK di conferma, Questa connessione TCP completa. Inviare un pacchetto di risposta nel lato server, se il cliente non è una conferma, il server vedo l'ora di timeout, durante il quale lo Stato semi-connected sono tenuti in uno spazio di coda del buffer è limitato, se un gran numero di pacchetti SYN inviati al server non risponde after renderà il lato server rapido esaurimento delle risorse TCP, causando una normale connessione non possono entrare, o addirittura causare il crash del server.
Firewall è di solito utilizzato per proteggere la rete interna da accessi non autorizzati reti esterne, che si trova tra il client e server, in modo da utilizzare un firewall per prevenire attacchi DoS in grado di proteggere efficacemente il server interno. Contro SYN Flood, protezione firewall è generalmente in tre modi: SYN Gateway, Gateway, e relè SYN SYN passiva.
pacchetto SYN SYN Gateway Firewall client ha ricevuto, il trasmesse direttamente al server, firewall prima che il server SYN / ACK, la mano sarà SYN / inoltro dei pacchetti ACK al client, d'altra parte per il nome del client al loopback server un pacchetto ACK per completare l'handshake TCP a tre vie, lo stato della connessione sul lato server e mezzo nello stato di connessione. Quando il client il pacchetto ACK arriva reale, i dati vengono trasmessi al server, altrimenti scartare il pacchetto. Poiché il server in grado di sopportare lo stato della connessione è molto più elevato rispetto alla semi-connessi, quindi questo metodo può ridurre efficace l'attacco ai server.
Passive SYN Gateway richiesta SYN per impostare i parametri di timeout del firewall, è molto più piccolo del periodo di timeout del server. Client Firewall è responsabile della trasmissione del pacchetto SYN inviato al server, il server invia al client di SYN / ACK e ACK del client invia al server. Così, se il cliente quando il timer scade nel firewall di non inviare i pacchetti ACK, il firewall è l'invio di pacchetti RST al server, in modo che il server dalla coda eliminando il semi-connessione. Poiché il parametro timeout firewall è molto più piccolo del periodo di timeout per il server, in modo che possa efficacemente prevenire gli attacchi SYN Flood.
SYN firewall Relay ricevuto dopo pacchetto SYN del client non viene inoltrato al server, ma poi prendere l'iniziativa di registrare le informazioni di stato al client di inviare SYN / ACK, se il pacchetto ACK il cliente ha ricevuto, cioè una normale visita dal firewall inviare pacchetti SYN al server e completare il three-way handshake. Questo agente è utilizzata dal firewall come un client e connessione server-side, non è possibile filtrare completamente inviata al server con la connessione.