Защита сайтов против SYN-наводнений

При получении машиной SYN-пакета к нему применяется функция, основанная на IP-адресах источника и адресата, номерах портов, времени и секретном номере, для вычисления значения, называемого SYN-cookie. Секретный номер - это целочисленное значение, которое хранится на сервере и не известно атакующему. Вычисленная SYN-cookie грузится в начальный порядковый номер (ISNB) SYN-ACK-отклика и передается через сеть. Машина не запоминает начальный порядковый номер системы-источника или даже имеющегося значения SYN-cookie. Место в очереди соединений данной машины не выделяется. В сущности, компьютер адресата сохраняет представление соединения в поле порядкового номера ответа, посланного источнику, зная, что эта информация будет возвращена в последующем АСК-пакете, если соединение законное. Машина адресата использует свой ответный SYN-ACK-пакет, посланный машине-источнику, чтобы запомнить информацию, связанную с указанным порядковым номером. Если SYN-пакет был частью SYN-наводнения, то никакого АСК-ответа не будет, но это хорошо: система не связана какой-либо структурой, запомнившей поддельное соединение.

Если же SYN-пакет был частью законного соединения, то системой-источником для завершения трехэтапного квитирования будет возвращен АСК-пакет на сайт irivnyanyn.com. Принимающая машина вычислит ту же самую функцию, основанную на 1Р-адре- сах источника и адресата, номерах портов, найденных в АСК-пакете, секретном номере системы, а также на недавних значениях времени. Если полученный результат совпадает с номером расписки в АСК-пакете, то SYN-cookie подтверждено. Система знает, что этот АСК - настоящая часть соединения, созданного путем трехэтапного квитирования. При помощи методики SYN-cookie было создано законное соединение, не требующее запоминания полуоткрытых соединений в очереди. Поэтому описанная методика ограничивает способность SYN-наводнений переполнять очередь. Более того, Linux-компьютер может быть сконфигурирован как прокси-брандмауэр, который добавит защиту SYN-cookie ко всей сети при помощи инструментальных средств.

Кроме SYN-cookie для особо важных Internet-систем могут понадобиться активные инструменты формирования трафика. Эти инструментальные средства, которые доступны в виде пакетов добавочных функций (за дополнительную цену) для некоторых брандмауэров и балансировщиков нагрузки, устанавливаются на пути, соединяющем чувствительный главный компьютер и Internet, например перед вашей DMZ. В дополнение к непосредственной поддержке огромных очередей соединений, формирователи трафика могут уменьшать количество входящих SYN-пакетов, направляемых на защищаемую машину, ограничивая их таким уровнем трафика, который данный компьютер может обработать. Замедляя скорость открытия соединений, инструментальные средства формирования трафика помогают избежать ущерба от SYN-наводнений.