¿Qué me impide lanzar una inundación SYN-ACK utilizando servidores HTTP?

12

Últimamente he estado estudiando redes y este problema me vino a la mente.

¿Qué me impide enviar muchas solicitudes SYN con la dirección de origen de mi objetivo (de ataque) e inundar la línea de Internet del objetivo con paquetes SYN-ACK?

Esto me da ventaja sobre la simple inundación SYN (o UDP inundación) contra mi objetivo de ataque: el anonimato, puedo ocultar mi IP real de esta manera y hacer que mi ataque sea muy difícil de mitigar mediante la incrustación, porque puedo forzar a cualquier servidor HTTP en internet para enviar el tráfico.

Otra ventaja es que puedo enviar los SYN a los servidores HTTP desde casi cualquier computadora en una red de bots, incluidos aquellos detrás de un firewall.

Mi pregunta es: ¿Por qué no puedo hacer esto? ¿Por qué no ha sido explotado en la naturaleza?

    
pregunta tensojka 30.05.2016 - 17:32
fuente

3 respuestas

20

Este es un ataque conocido desde hace mucho tiempo llamado "DoS reflejado". La razón por la que no causa gran parte de los problemas para los defensores es que recibir un SYN + ACK inesperado no ocupa ningún estado en el servidor de destino; a lo sumo puede enviar un paquete para decir "uh, lo siento, no esperaba eso", lo que puede puede causar cierta saturación de su conexión de red en un escenario donde el atacante tiene mucho ancho de banda en su Eliminación, pero sobre todo esto no es muy útil para los atacantes. La mayoría de las veces, el servidor de seguridad frente al servicio verá que no hay una conexión abierta y solo dejará caer el paquete en silencio. En general, los paquetes SYN y SYN + ACK son muy pequeños, por lo que necesita una gran cantidad de ellos para causar problemas a un defensor en términos de inundación.

Por el contrario, la razón por la que la inundación de SYN a veces es efectiva no es que el enlace de la red se sature, sino que la pila TCP del servidor espera que los nuevos clientes envíen un ACK y deben mantener el estado hasta que se agote el tiempo de espera, lo que provoca que Se alcanzará el límite de conexión medio abierto y se denegarán las nuevas conexiones de usuarios legítimos. Sin embargo, esto se mitiga principalmente en la mayoría de los escenarios sensatos mediante el uso de implementaciones modernas de pila TCP / IP y medidas defensivas como las cookies TCP y las reglas de firewall / IPS.

El tipo de ataques de reflexión de inundación más comúnmente vistos son aquellos que amplifican el ataque en el proceso , mediante el cual los paquetes pequeños enviados por un atacante generan paquetes de respuesta grandes desde el servidor, lo que permite que el atacante amplifique significativamente el volumen de tráfico. Esto fue principalmente explotado inicialmente contra servidores DNS, pero más recientemente, los atacantes han identificado muchos otros servicios que producen coeficientes de amplificación aún mayores, particularmente NTP.

    
respondido por el Polynomial 30.05.2016 - 18:11
fuente
2

En la mayoría de los ISPes u organizaciones, es posible que su ataque no funcione para el exterior, simplemente porque se considera una de las mejores prácticas de la industria y buena etiqueta para hacer lo que Cisco denomina filtro de egreso.

Con algunas marcas de firewall, es decir, CheckPoint, si las medidas contra la suplantación de identidad están habilitadas, solo podrá conectar máquinas en la misma red con paquetes falsificados.

Simplemente cualquier organización, y en la práctica, muchos ISP, filtran en su firewall o puertas de enlace fronterizas, cualquier paquete que vaya a Internet que no tenga como fuente una dirección IP propia.

En los ISP y en las grandes organizaciones que he administrado, siempre he implementado el filtrado de ingreso y egreso.

Los filtros de entrada / salida han sido una práctica estándar desde finales de los años 90, para mitigar los paquetes falsificados y los ataques DDOS. Muchos todavía no implementan las medidas.

Consejo técnico: use el filtrado de ingreso y egreso para proteger el borde de su red

Como un cuento anecdótico: administré IP / communication / systems en uno de los ISPs más grandes de un país del tercer mundo; aún estábamos bastante vinculados a satélites, y especialmente el ancho de banda ascendente era alto y escaso. Una vez el servicio de asistencia me remitió un ticket donde un competidor había comprado un módem nuestro y se quejó de que nuestro servicio no estaba reenviando su espacio de direcciones IP .

Como un cuento más serio: una vez inhabilité durante un par de minutos mi filtrado de ingreso para las pruebas, y fui bastante rápido en mis rodillas debido a mi error del proveedor ascendente de no filtrar correctamente su tráfico de video de multidifusión.

    
respondido por el Rui F Ribeiro 31.05.2016 - 09:25
fuente
1

Puede funcionar, pero parece doloroso.

Si lo entiendo bien, cualquier SYN o firewall moderno identificaría eventualmente los SYNs desnudos en su máquina "reflector" como un intento de inundación y se eliminaría.

Un SYN-ACK no solicitado en la víctima se eliminaría en el firewall. Ni siquiera iría a un puerto de servicio.

[source] -ephermal:TCP(SYN):80-> [reflector] -80:TCP(SYN-ACK):ephermal-> [victim]

Tomaría un lote de servidores web sin protección synflood enviando SYN-ACK para saturar una tubería de 1 Gbps.

    
respondido por el mgjk 30.05.2016 - 18:07
fuente

Lea otras preguntas en las etiquetas