DoS(サービス拒否サービス拒否の)やDDoSは(サービス拒否の分散)攻撃は、大規模なWebサイトやWebサーバーのセキュリティの脅威はサービス拒否の分散。 2006年3月2000、ヤフー、アマゾンは、CNNや攻撃の他の例では、重大なセキュリティインシデントの歴史に刻まれていた。
その効果のためにSYNフラッド攻撃は、DoS攻撃やDDoS攻撃の最も人気のある手段となっている。
TCPのSYNフラッド使用してプロトコルの脆弱性、偽造したTCP接続要求の数が多い、攻撃側の枯渇によって作ら送信したり、取引に対応する通常のサービス要求できない。通常のTCP接続が3方向ハンドシェイクを、最初のクライアントが必要ですSYNパケットのフラグを、サーバーに送信のSYN / ACK応答パケットを、クライアントの要求が受け入れられて返し、最終的なクライアントへ確認のパケットのACK、この完全なTCP接続。クライアントが確認を送信しない場合、送信は、サーバー側の応答パケットは、サーバーがタイムアウトには、半接続状態の時にバッファキュースペースに保管され制限されてお待ちしております。SYNパケットの数が多いサーバーへの後に応答しません送信する場合、通常の接続、または入力することはできませんもサーバがクラッシュする原因と結果のリソースのサーバー側のTCP急速な枯渇を行います。
ファイアウォールは通常、不正なアクセスからクライアントとサーバーの間に位置している外部ネットワーク、内部ネットワークを保護するため、DoS攻撃を防ぐために効果的に内部サーバーを保護することができますファイアウォールを使用して使用されます。 SYNフラッドに対しては、ファイアウォール保護は、通常、3つの方法:のSYNゲートウェイ、ゲートウェイ、およびSYNのSYN受動リレーです。
のSYNゲートウェイファイアウォールクライアントのSYNパケットは、サーバーに直接送信受信、ファイアウォールの前にサーバのSYN / ACKパケットを、手は、サーバーのループバックにクライアントの名前を一方のクライアントにSYN / ACKパケットの転送、されるACKパケットは、TCP 3方向ハンドシェイクを完了するために、接続の状態にサーバー側と半分に接続ステータスです。クライアントが実際のACKパケットが到着すると、データがサーバーに、それ以外のパケットを破棄送信されます。サーバーは接続状態を耐えることができるので、よりはるかに高くなって半接続、このメソッドは効果的にサーバーへの攻撃を減らすことができます。
パッシブのSYNゲートウェイのSYN要求がファイアウォールのタイムアウトパラメータを設定するには、多くのサーバーのタイムアウト期間よりも小さいようです。ファイアウォールクライアントは転送のために責任のSYNパケットがサーバーに送信されると、サーバーは、クライアントのSYN / ACKパケットを、クライアントのACKパケット送信したサーバーに送られます。したがって、場合、クライアントがタイマーは、ファイアウォールのACKパケットを送信しないよう経過すると、ファイアウォール、サーバにRSTパケットを送信しているので、半接続を削除することによって、キューからサーバー。ファイアウォールのタイムアウトパラメータは、多くのサーバのタイムアウト期間よりも小さい場合、それは効果的にSYNフラッド攻撃を防ぐことができます。
のSYNリレーのファイアウォールクライアントのSYNパケットを受信クライアントのACKパケットが、これはファイアウォールによって、通常の訪問れている場合、クライアントのSYN / ACKパケットに、主導権を送ったら、サーバーへの状態情報を記録されませんし、後に転送を受けたサーバへのSYNパケットを送信し、3方向ハンドシェイクを完了します。このエージェントは、クライアントとサーバー側の接続として、ファイアウォールで使用されている場合は、完全に接続してサーバーに送信されるフィルタリングすることはできません。