Questão Q578416

Um Administrador de Redes Linux ativou o uso de SYN Cookies, um recurso oferecido diretamente pelo Kernel, que foi incluído no script de firewall através do seguinte comando no servidor dedicado:

# echo 1 > /proc/sys/net/ipv4/tcp_syncookies

Com isso o Administrador de Redes pode conseguir o seguinte objetivo:

Alternativas

Bloquear ataques do tipo DoS spoofing, que consiste em enviar um grande volume de pacotes SYN até o alvo, sem nunca efetivamente abrir a conexão.

Impedir a troca de pacotes entre o emissor e o destinatário, através do ataque DoS two-way handshake. O emissor envia um pacote SYN e o destinatário responde com um pacote SYN/ACK. A conexão TCP fica então aberta indeterminadamente.

Como existe um limite de conexões TCP que o servidor pode manter ativas simultaneamente, um grande volume de pacotes SYN pode estourar o limite de conexões, travando o servidor. Este comando verifica se está ocorrendo um ataque do tipo DoS syncookies e avisa o Administrador.

Ao ativar o recurso, o sistema passa a responder ao pacote SYN inicial com um cookie, que identifica o cliente. Com isso, o sistema aloca espaço para a conexão apenas após receber o pacote ACK de resposta, tornando o ataque DoS SYN flood inefetivo, reduzindo seu efeito sobre o servidor.

Desativar ações de um atacante que tenta invadir o sistema usando o ataque DoS syncookies. Este ataque pode consumir um pouco de banda, mas obriga o servidor a enviar um grande volume de SYN Cookies de resposta, provocando o seu travamento.

Comentários

O uso de TCP SYN Cookie pode ser usado para proteção contra ataques DDoS do tipo SYN flood.

O uso de TCP SYN Cookie permite que o servidor evite descartar novas conexões recebidas quando o buffer de abertura de conexão ficar cheio.

O servidor se comporta como se o buffer ainda tivesse espaço. O servidor envia de volta a resposta SYN+ACK ao cliente, mas descarta a entrada SYN do buffer (tabela de estados).

Se o servidor receber um ACK subsequente do cliente, o servidor é capaz de reconstruir a entrada SYN no buffer usando informação do próprio cabeçalho TCP (campo sequence number).

Fonte: https://en.wikipedia.org/wiki/SYN_cookies

SóProvas

Continue usando...

O que está incluso