Varias formas de prevenir los ataques de denegación de servicio distribuidos por DDOS mediante los cortafuegos

  

DoS (Denegación de servicio Denegación de servicio) y DDoS (Denegación de servicio distribuida) son una de las amenazas de seguridad de los sitios web grandes y los servidores de red. En febrero de 2000, Yahoo, Amazon y CNN fueron atacados y así sucesivamente, y fueron grabados en la historia de los principales incidentes de seguridad. SYN Flood se ha convertido en el método de ataque DoS y DDoS más popular debido a su buen efecto de ataque.

SYN Flood utiliza defectos del protocolo TCP para enviar un gran número de solicitudes de conexión TCP falsificadas, lo que hace que el recurso de la parte atacada se agote y no pueda responder o procesar las solicitudes de servicio normales a tiempo. Una conexión TCP normal requiere un protocolo de enlace de tres vías. Primero, el cliente envía un paquete que contiene el indicador SYN. ​​El servidor luego devuelve un paquete de respuesta SYN /ACK que indica que se acepta la solicitud del cliente. Finalmente, el cliente devuelve un paquete de acuse de recibo ACK. Esto completa la conexión TCP. Después de que el paquete de respuesta es enviado por el servidor, si el cliente no emite un acuse de recibo, el servidor espera un tiempo de espera, durante el cual el estado semiconectado se almacena en una cola de búfer con espacio limitado; si se envía una gran cantidad de paquetes SYN al servidor sin responder, Esto hará que los recursos TCP del lado del servidor se agoten rápidamente, lo que dará como resultado una conexión normal que no se puede ingresar, o incluso una falla del sistema del servidor.

Los firewalls a menudo se usan para proteger las redes internas del acceso no autorizado de redes externas. Están ubicadas entre el cliente y el servidor, por lo que los firewalls se usan para evitar que los ataques DoS protejan efectivamente los servidores internos. Para SYN Flood, los firewalls suelen tener tres métodos de protección: gateway SYN, gateway SYN pasivo y troncal SYN.

Cuando el firewall de la puerta de enlace SYN recibe el paquete SYN del cliente, lo envía directamente al servidor. Después de recibir el paquete SYN /ACK del servidor, el firewall reenvía el paquete SYN /ACK al cliente. Envíe un paquete ACK al servidor con el nombre del cliente, complete el protocolo de enlace de tres vías de TCP y deje que el servidor ingrese al estado de conexión desde el estado semi-conectado. Cuando llega el paquete ACK real del cliente, los datos se envían al servidor, de lo contrario, se descarta el paquete. Dado que el servidor puede soportar el estado de conexión mucho más alto que el estado semi-conectado, este método puede mitigar efectivamente el ataque en el servidor.

Pasarela SYN pasiva Establezca el parámetro de tiempo de espera de solicitud SYN del firewall para que sea mucho más pequeño que el período de espera del servidor. El firewall es responsable de reenviar el paquete SYN enviado por el cliente al servidor, el paquete SYN /ACK enviado por el servidor al cliente y el paquete ACK enviado por el cliente al servidor. Por lo tanto, si el cliente no envía un paquete ACK cuando el temporizador del servidor de seguridad caduca, el servidor de seguridad envía un paquete RST al servidor para hacer que el servidor elimine la semi-unión de la cola. Debido a que el parámetro de tiempo de espera del firewall es mucho más pequeño que el período de tiempo de espera del servidor, esto puede prevenir efectivamente el ataque SYN Flood.

Después de recibir el paquete SYN del cliente, el firewall de retransmisión SYN no se reenvía al servidor, sino que registra la información de estado y luego devuelve activamente el paquete SYN /ACK al cliente. Si el cliente recibe el paquete ACK, , que indica el acceso normal, enviando un paquete SYN al servidor por el firewall y completando el protocolo de enlace de tres vías. De esta manera, el firewall actúa como un proxy para implementar la conexión entre el cliente y el servidor, y puede filtrar completamente la conexión no disponible al servidor.

Copyright © Conocimiento de Windows All Rights Reserved