Это может быть банальный вопрос. Это касается Syn Cookie. Почему только полуоткрытые соединения считаются только атакой DOS. Возможно, клиент завершит рукопожатие (SYN, SYN-ACK, ACK) и никогда не ответит после этого. Это также потребует системных ресурсов.
Итак, если клиент наводнен последовательностью (SYN, SYN-ACK, ACK), почему это не считается атакой DOS?
SYN flood-атака, о которой идет речь, представляет собой особую форму Атака отказа в обслуживании. DOS может принимать разные формы, часто не связанные с запросами SYN.
Причина, по которой атака SYN flood эффективна, заключается в том, что вы можете подделать IP-адрес клиента. Это позволяет выполнять очень большое количество SYN-запросов от одного и того же клиента, но поскольку SYN-ACK никогда не будет получен, нет возможности отправить ACK, и сервер остается в ожидании ответа, следовательно, используя доступные соединения на сервер. Клиент, отправляющий SYN и ACK, не будет использовать доступные соединения. Большое количество бесполезных (SYN, SYN-ACK, ACK) все равно будет атакой DOS, только не такой эффективной.
В SYN-потоке клиенту не нужно отслеживать состояние или полные соединения. Клиент создает несколько SYN-пакетов с поддельным IP-адресом, что может быть выполнено очень быстро. Сервер (когда не использует файлы cookie SYN) потребляет ресурсы, ожидая истечения времени ожидания или завершения каждой попытки подключения. В результате это очень эффективный DoS с использованием ресурсов, потребляемых клиентом (DoS-атакой) по сравнению с атакованным сервером, в диапазоне 1: 10000.
Если клиент завершает каждое соединение, то кредитное плечо исчезает - серверу больше не нужно ждать, и клиент должен начать отслеживать состояние. Таким образом, мы имеем 1: 1 вместо 1: 10000. Здесь есть второстепенная проблема - буферы для полуоткрытого соединения (или были, когда эта атака была впервые изобретена) малы по сравнению с установленными соединениями и исчерпываются (были) легче.
Файлы cookie SYN позволяют серверу забыть о соединении сразу после ответа на пакет SYN, пока он не получит ACK с правильным порядковым номером. Здесь снова использование ресурсов становится 1: 1.
Да, Sockstress - это старая атака 2008 года, которая завершает рукопожатие TCP, а затем уменьшает размер окна до нуля (или другого небольшого значения), связывая соединения на уровне 4, что в некоторой степени похоже на SlowLoris. атака 7 слоя. Нажмите здесь, чтобы узнать больше о Sockstress.
