رفتن به نوشته‌ها

معرفی حمله TCP SYN ACK Flood

ddos-force-attack

در ادامه معرفی حملات قصد داریم متود جدیدی از حملات DDoS با عنوان TCP SYN ACK Flood را مورد بررسی قرار دهیم؛ این نوع حملات همانطور که مشخص است مبتنی بر یک ارتباط TCP به همراه SYN ACK فعال است؛ قبل از شروع معرفی باید با مراحل سه گانه اتصال TCP آشنا شوید:

اول کلاینت یک بسته SYN به سرور می فرستد.
دوم سرور یک بسته SYN ACK به کلاینت  می فرستد.
سوم کلاینت یک بسته ACK به سرور می فرستد.

هنگامی که این سه مرحله به اتمام برسد یک ارتباط مشروع و قانونی بین سرور و کلاینت برقرار می شود که می توانند به تبادل اطلاعات بپردازند. حمله TCP SYN ACK flood پکت های زیادی به صورت TCP ارسال می کند که شامل SYN و ACK فعال است؛ این نوع حمله بسیار شبیه به SYN flood است.

اول اجازه دهید یک حمله TCP SYN ACK Flood را برای شما به تصویر بکشیم، این حمله TCP SYN ACK Flood جعلی بر روی آی پی فرضی ۱۰٫۱۰۰٫۱۰۱٫۱۰۲ و بر روی پورت ۸۰ در حال انجام است.

عبارت [S.] نشان دهنده یک پکت SYN ACK است.

ساخت یک TCP session برای برقراری یک اتصال TCP در سرور ضروری است و اگر یک session  برای یک ارتباط آی پی های مبدا/مقصد وجود نداشته باشد پکت های ارسالی توسط سرور دریافت نخواهند شد.

در خصوص یک پکت SYN ACK ؛ سرور با RST (reset) packet به کلاینت پاسخ ارسال می کند که هنوز ارتباطی ایجاد نکرده است و پکت پذیرفته نمی شود.

در یک حمله SYN ACK flood اتکر با تعداد زیادی آی پی جعلی پکت هایی را به سرور قربانی ارسال می کند و زمانی که پکت ها به سرور می رسند سرور مجبور می شود به تمامی آی پی های جعلی یک RST packet ارسال نماید تا به آنها بگوید که هیچ کانکشن TCP صورت نپذیرفته است.

این پکت ها نیاز به پروسس در سرور دارند؛ حتی اگر قرار باشد سرور به آنها پاسخ دهد که هیچ کانکشنی ایجاد نشده است و پکت ها نا معتبر است! بنابر این حجم بالای این پکت ها می توانند منابع سرور را به صورت جدی درگیر نماید؛ به همین دلیل SYN ACK flood یکی از خطر ناک ترین نوع حملات TCP محسوب می شود که تشخیص و مهار آن دشوار است.

همچنین حملات SYN ACK flood  بسیار موثر تر از حملات SYN flood است؛

منتشر شده در اخبار

اولین باشید که نظر می دهید

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *