Атака поддельными TCP сессиями (Fake Session Attack)

 Алгоритм атак этого типа сводится к эмуляции TCP-сессий на сетях с асимметричной маршрутизацией следующим образом: злоумышленник генерирует поддельные SYN-пакеты, затем много ACK, а затем FIN/RST пакеты. Все эти пакеты вместе похожи на трафик реальной TCP-сессии, отправляемый одним из хостов другому. Учитывая, что на сегодняшний день в большинстве сетей реализована асимметричная маршрутизация трафика (при которой входящие и исходящие пакеты направляются по разным маршрутам), а современные инструменты защиты сетей разработаны для анализа однонаправленного трафика (не рассчитаны на анализ в том числе и обратного трафика), для применения атак этого вида складываются идеальные условия. Таким образом, симулируя полноценное TCP взаимодействие и обходя инструменты защиты, которые анализируют лишь входящий трафик, злоумышленник может добиться исчерпания системных ресурсов и недоступности сервера-жертвы. Существует 2 разновидности таких атак: в первом случае отправляется несколько фальсифицированных SYN пакетов, затем несколько ACK, затем однин или более FIN/RST пакетов; во втором случае пропускаются SYN пакеты, и атака начинается с отправки нескольких ACK, за которыми следует одним или более FIN/RST пакетов. Относительно небольшая скорость отправки поддельных пакетов делает атаку этого типа более сложной для обнаружения по сравнению с обычным флудом, но достигает аналогичного результата: исчерпание системных ресурсов сервера-жертвы. Способом предупреждения данной атаки является настройка системы защиты на анализ входящего и исходящего трафика одновременно.

Комментарии

Популярные сообщения из этого блога

Атака фрагментированными HTTP пакетами (Fragmented HTTP Flood, HTTP Fragmentation, Nuke)

Рекурсивный HTTP GET Flood (Recursive HTTP GET Flood)

защита от ддос атак сервера