Мережеві пристрої постачальника послуг Інтернету можуть потенційно стати жертвами атак, що провокують відмова в обслуговуванні (DoS).
Атака TCP SYN: Від відправника виходить великий обсяг підключень, які не можуть бути завершені. Це викликає переповнення черги підключень, унеможливлюючи тим самим використання сервісів звичайними користувачами.
У цьому документі міститься технічний опис того, як відбуваються потенційні атаки TCP SYN, і запропоновані способи використання програмного забезпечення Cisco IOS для захисту від них.
Примітка: Програмне забезпечення Cisco IOS 11.3 має функцію для активного запобігання атак "відмова в обслуговуванні" TCP. Ця функція описана в документі Налаштування перехоплення TCP (запобігання DoS-атак).
Для даного документа відсутні попередні умови.
Цей документ не має жорсткої прив'язки до яких-небудь конкретних версій програмного забезпечення і устаткування.
Відомості, що містяться в даному документі, були отримані з пристроїв в спеціальній лабораторній середовищі. Всі пристрої, описані в даному документі, були запущені з конфігурацією за умовчанням. При роботі з реальною мережею необхідно повністю усвідомлювати можливі результати використання всіх команд.
При встановленні звичайного TCP-з'єднання хост призначення приймає пакет SYN (початок синхронізації) від вихідного хоста і передає в зворотному напрямку пакет SYN ACK (підтвердження синхронізації). Вузол призначення повинен отримати пакет ACK (підтвердження) у відповідь на відправлений пакет SYN ACK, перш ніж з'єднання буде встановлено. Це називається трьохетапним встановленням TCP-з'єднання. "
Чекаючи отримання пакету ACK у відповідь на SYN ACK, обмежена за розміром чергу з'єднань на вузлі призначення відстежує з'єднання, які очікують завершення встановлення. Ця чергу зазвичай швидко очищається, тому що надходження пакета ACK очікується через декількох мілісекунд після отримання пакету SYN ACK.
Зовнішні прояви цієї проблеми включають неможливість отримати електронну пошту, нездатність приймати з'єднання сервісів WWW або FTP, або на хості є багато TCP-з'єднань, що мають стан SYN_RCVD.
Збільшення розміру черги підключень (черги SYN ACK).
Скорочення часу очікування трьохетапного встановлення з'єднання.
Застосування виправлень в програмному забезпеченні постачальників (в разі доступності таких) для виявлення і вирішити цю проблему.
У постачальника хоста слід поцікавитися наявністю конкретних виправлень для попередження атаки TCP SYN ACK.
Наприклад, якщо ваша мережа представлена IP-мережею 172.16.0.0 і ваш маршрутизатор підключається до постачальника послуг Інтернету, використовуючи послідовний інтерфейс 0/1, то можна застосувати список контролю доступу в такий спосіб:
Наприклад, якщо через послідовний інтерфейс serial 1/0 з вашим маршрутизатором пов'язані такі номери мереж ваших клієнтів, то можна створити вказаний нижче список контролю доступу: