در ادامه معرفی حملات قصد داریم متود جدیدی از حملات DDoS با عنوان TCP SYN ACK Flood را مورد بررسی قرار دهیم؛ این نوع حملات همانطور که مشخص است مبتنی بر یک ارتباط TCP به همراه SYN ACK فعال است؛ قبل از شروع معرفی باید با مراحل سه گانه اتصال TCP آشنا شوید:
اول کلاینت یک بسته SYN به سرور می فرستد.
دوم سرور یک بسته SYN ACK به کلاینت می فرستد.
سوم کلاینت یک بسته ACK به سرور می فرستد.
هنگامی که این سه مرحله به اتمام برسد یک ارتباط مشروع و قانونی بین سرور و کلاینت برقرار می شود که می توانند به تبادل اطلاعات بپردازند. حمله TCP SYN ACK flood پکت های زیادی به صورت TCP ارسال می کند که شامل SYN و ACK فعال است؛ این نوع حمله بسیار شبیه به SYN flood است.
اول اجازه دهید یک حمله TCP SYN ACK Flood را برای شما به تصویر بکشیم، این حمله TCP SYN ACK Flood جعلی بر روی آی پی فرضی ۱۰٫۱۰۰٫۱۰۱٫۱۰۲ و بر روی پورت ۸۰ در حال انجام است.
۱۲:۴۳:۵۲٫۸۳۵۸۶۰ IP 240.26.181.120.1696 > 10.100.101.102.80: Flags [S.], seq 2130742457, ack 1965920245, win 512, length 0 ۰x0000: 4500 0028 31ac 0000 3f06 466e f01a b578 E..(1…?.Fn…x ۰x0010: 4814 160f 06a0 0050 7f00 8cb9 752d 8ff5 H……P….u-.. ۰x0020: 5012 0200 924f 0000 0000 0000 0000 P….O…….. ۱۲:۴۳:۵۳٫۸۳۵۸۹۹ IP 250.226.228.185.1697 > 10.100.101.102.80: Flags [S.], seq 1590728177, ack 1831211018, win 512, length 0 ۰x0000: 4500 0028 d4d7 0000 3f06 6939 fae2 e4b9 E..(….?.i9…. ۰x0010: 4814 160f 06a1 0050 5ed0 95f1 6d26 100a H……P^…m&.. ۰x0020: 5012 0200 f72f 0000 0000 0000 0000 P…./…….. ۱۲:۴۳:۵۴٫۸۳۵۹۳۸ IP 83.152.76.154.1698 > 10.100.101.102.80: Flags [S.], seq 1450754368, ack 932352526, win 512, length 0 ۰x0000: 4500 0028 ba9b 0000 3f06 c2df 5398 4c9a E..(….?…S.L. ۰x0010: 4814 160f 06a2 0050 5678 c140 3792 920e H……PVx.@7… ۰x0020: 5012 0200 c731 0000 0000 0000 0000 P….۱…….. ۱۲:۴۳:۵۵٫۸۳۵۹۷۸ IP 243.6.15.240.1699 > 10.100.101.102.80: Flags [S.], seq 1615424763, ack 1978575496, win 512, length 0 ۰x0000: 4500 0028 e6ba 0000 3f06 33fc f306 0ff0 E..(….?.۳….. ۰x0010: 4814 160f 06a3 0050 6049 6cfb 75ee aa88 H……P`Il.u… ۰x0020: 5012 0200 580a 0000 0000 0000 0000 P…X………
عبارت [S.] نشان دهنده یک پکت SYN ACK است.
ساخت یک TCP session برای برقراری یک اتصال TCP در سرور ضروری است و اگر یک session برای یک ارتباط آی پی های مبدا/مقصد وجود نداشته باشد پکت های ارسالی توسط سرور دریافت نخواهند شد.
در خصوص یک پکت SYN ACK ؛ سرور با RST (reset) packet به کلاینت پاسخ ارسال می کند که هنوز ارتباطی ایجاد نکرده است و پکت پذیرفته نمی شود.
در یک حمله SYN ACK flood اتکر با تعداد زیادی آی پی جعلی پکت هایی را به سرور قربانی ارسال می کند و زمانی که پکت ها به سرور می رسند سرور مجبور می شود به تمامی آی پی های جعلی یک RST packet ارسال نماید تا به آنها بگوید که هیچ کانکشن TCP صورت نپذیرفته است.
این پکت ها نیاز به پروسس در سرور دارند؛ حتی اگر قرار باشد سرور به آنها پاسخ دهد که هیچ کانکشنی ایجاد نشده است و پکت ها نا معتبر است! بنابر این حجم بالای این پکت ها می توانند منابع سرور را به صورت جدی درگیر نماید؛ به همین دلیل SYN ACK flood یکی از خطر ناک ترین نوع حملات TCP محسوب می شود که تشخیص و مهار آن دشوار است.
همچنین حملات SYN ACK flood بسیار موثر تر از حملات SYN flood است؛
اولین باشید که نظر می دهید