Dispozitivele de rețea furnizoare de servicii de Internet (ISP) pot deveni victime ale atacurilor Denial of Service (DoS).
TCP SYN atac: Un număr mare de conexiuni provin de la expeditor, care nu pot fi finalizate. Acest lucru face ca coada de conectare să depășească, ceea ce face imposibilă utilizarea serviciilor de către utilizatorii obișnuiți.
Acest document conține o descriere tehnică a modului în care pot apărea potențiale atacuri TCP SYN și modalitățile propuse de a utiliza software-ul Cisco IOS pentru a le proteja împotriva acestora.
Notă: Software-ul Cisco IOS 11.3 are funcția de a preveni în mod activ atacurile de refuz al serviciilor de la TCP. Această funcție este descrisă în documentul Configurați interceptarea TCP (prevenirea atacurilor DoS).
Nu există condiții prealabile pentru acest document.
Acest document nu are o obligație rigidă la variantele specifice ale software-ului și ale hardware-ului.
Informațiile conținute în acest document au fost obținute de la dispozitive într-un mediu de laborator special. Toate dispozitivele descrise în acest document au fost pornite cu configurația implicită. Când lucrați cu o rețea reală, trebuie să înțelegeți în totalitate posibilele rezultate ale utilizării tuturor comenzilor.
Când se stabilește o conexiune TCP normală, gazda destinație primește pachetul SYN (start de sincronizare) de la gazda sursă și trimite înapoi pachetul SYN ACK (confirmare de sincronizare). Nodul de destinație trebuie să primească pachetul ACK (confirmare) ca răspuns la pachetul SYN ACK trimis înainte de stabilirea conexiunii. Aceasta se numește instalare în trei etape a unei conexiuni TCP. "
În așteptarea primirii unui pachet ACK ca răspuns la un SYN ACK, o coadă de conexiuni delimitate la nodul de destinație urmărește conexiunile care așteaptă terminarea unității. Această coadă este de obicei curățată rapid, deoarece sosirea pachetului ACK este așteptată în câteva milisecunde după primirea pachetului SYN ACK.
Excepțiile externe ale acestei probleme includ incapacitatea de a primi e-mail, incapacitatea de a primi conexiuni de servicii WWW sau FTP sau există multe conexiuni TCP pe gazdă care au starea SYN_RCVD.
Măriți dimensiunea coadajului de conectare (coada SYN ACK).
Reduce timpul de așteptare pentru o conexiune trifazată.
Aplicarea de remedii în software-ul furnizorului (dacă este disponibil) pentru a detecta și rezolva problema.
Furnizorul gazdă trebuie să solicite remedii specifice pentru a preveni atacul TCP SYN ACK.
De exemplu, dacă rețeaua dvs. este reprezentată de rețeaua IP 172.16.0.0 și routerul dvs. se conectează la ISP utilizând interfața serială 0/1, puteți aplica lista de control al accesului după cum urmează:
De exemplu, dacă următoarele numere de rețea ale clienților dvs. sunt conectați prin interfața serială serial 1/0 cu ruterul dvs., puteți crea următoarea listă de control al accesului: