Инструкция по эксплуатации QTECH G.SHDSL.bis (QFC-PS4APR-2W (4W) v.1)

Руководство пользователя

3. Управление через WEB- Браузер

50

www.qtech.ru

Рисунок 63

SYN flood — одна из разновидностей сетевых атак типа отказ от обслуживания, которая
заключается в отправке большого количества SYN-запросов (запросов на подключение по
протоколу TCP) в достаточно короткий срок (RFC 4987).

Согласно процессу «трёхкратного рукопожатия» TCP, клиент посылает пакет с
установленным флагом SYN (synchronize). В ответ на него сервер должен ответить
комбинацией флагов SYN+ACK (acknowledges). После этого клиент должен ответить
пакетом с флагом ACK, после чего соединение считается установленным.

Принцип атаки заключается в том, что злоумышленник, посылая SYN-запросы,
переполняет на сервере (цели атаки) очередь на подключения. При этом он игнорирует
SYN+ACK пакеты цели, не высылая ответные пакеты, либо подделывает заголовок пакета
таким образом, что ответный SYN+ACK отправляется на несуществующий адрес. В
очереди подключений появляются так называемые полуоткрытые соединения (англ. half-
open connection), ожидающие подтверждения от клиента. По истечении определенного
тайм-аута эти подключения отбрасываются. Задача злоумышленника заключается в том,
чтобы поддерживать очередь заполненной таким образом, чтобы не допустить новых
подключений. Из-за этого легитимные клиенты не могут установить связь, либо
устанавливают её с существенными задержками.

ICMP flood

ICMP – это наиболее примитивная и распространенная flood атака, способная забивать
полосу пропускания и обеспечивать нагрузкой на сетевой стек благодаря пинг-запросам.
Данная атака обнаруживается путем двустороннего анализа потока трафика. При этом во
время ICMP-атаки трафик в обе стороны практически идентичный. Решается проблема
методом отключения ответов на пинг-запросы.