Наводнение SYN, возможно, наиболее эффективное пакетное нападение, пожирающее самое большое количество программных ресурсов при наименьших усилиях. Оно фальсифицирует TCP-подключения по вымышленным IP-адресам, на которые атакуемая машина не способна ответить.
Установление TCP-подключения требует обмена тремя пакетами: первый - SYN (для синхронизации битов), затем SYN/ACK - ответ на запрос web-сервера, и, наконец, ACK (для подтверждения возвращения сигнала). После этого связь устанавливается, но если существует задержка подключения, сервер посылает SYN/ACK несколько раз и ждет ответа, при этом необходимые ресурсы для осуществления подключения уже выделены. Период повторной посылки запроса может составлять более трех минут на каждое поддельное подключение, так что нетрудно сообразить, что даже скромное наводнение не имеющих ответа SYN-пакетов может сокрушить практически любой сервер за короткое время.
Поскольку такие пакеты - необходимая часть нормального сетевого трафика, злонамеренные SYN-пакеты трудно отфильтровать. Как правило, вы можете справиться с нападением, уменьшив число повторных SYN/ACK-ответов вашей машины, но при этом вы будете отвергать и часть законных подключений, если установите слишком агрессивные параметры.
Для того чтобы полностью изучить эффективность существующих методов борьбы с этой проблемой, эксперт компании TechMavens Росс Оливер провел эталонные тесты нескольких устройств, расположенных приблизительно в одинаковом ценовом диапазоне, используя самодельный комплект для моделирования SYN-атаки на них. Он сообщил о полученных результатах на симпозиуме защиты USENIX на прошлой неделе в Вашингтоне.
Для своих тестов он использовал распространенный сервер (Apache Red Hat 7.1), который при отсутствии защиты не мог обрабатывать новые подключения и "глухо зависал" при интенсивности атаки всего 100 SYN/sec.
Самые плохие показатели оказались у межсетевой защиты Cisco PIX и Checkpoint's Firewall-1, оборудованных модулем SYNDefender. Комплект Cisco вообще не показал никакого преимущества своего использования и выходил из строя при тех же 100 SYN/sec. Защита Firewall-1 показала лишь незначительно лучшие результаты, ломаясь (то есть, отказываясь от новых подключений) при каких-то 500 SYN/sec, которые легко могут быть получены при использовании двух или трех слабых источников SYN-атак.
Справедливо обратить внимание на то, что пользователи ожидают от межсетевой защиты хоть какой-то пользы, в этом случае непонятно, почему комплект Cisco выставлен на продажу для защиты от наводнений SYN, поскольку бесполезность этого комплекта после тестов становится очевидной.
Защита Netscreen-100 компании Netscreen справлялась лучше, разрушаясь только после 14,000 SYN/sec, что приблизительно соответствует атаке 28 мощных источников, при этом цена такой защиты соответствует двум предыдущим описанным моделям.
Только Top Layer AppSafe показала наилучшие результаты, не показывая никаких признаков сбоя даже при максимальной интенсивности атаки 22,000 SYN/sec, которой Оливер смог достичь на своих испытаниях. Цена такой защиты оказалась приблизительно один доллар на SYN во время максимально серьезной атаки, что кажется для нас довольно экономичным решением.
Журналисты поинтересовались у представителей Top Layer, какое, по их данным, максимальное значение интенсивности SYN-атаки, способно выдержать AppSafe. Деннис Англин, руководитель отдела маркетинга, объяснил, что в зависимости от настроек оборудования, цифры очень варьируются, и в настоящее время компания проводит эталонное тестирование для получения зафиксированного максимального значения. Фильтр способен отличить "нормальный", "подозрительный" и "вредный" трафик согласно настройкам, определяемым самим пользователем, и может быть сконфигурирован для блокирования вредных IP, время же повторного вызова можно конфигурировать от 15 секунд до нескольких недель.