TCP SYN Flood - Attack

TCP SYN Flood - Attack
• Beschreibung
• Auswirkungen
• Zuordnung zu Gefährdungskategorie und Attacken-Art
• Gegenmaßnahmen
• Quellen

TCP SYN Flood - Beschreibung
• TCP SYN Flood Denial of Service Attacke
• Attacke nutzt TCP Verbindungsaufbau
• Dienste, oder ganze Systeme werden
blockiert
• In Verbindung mit IP-Spoofing (fälschen der
IP-Absendeadresse) sehr effektiver!

TCP Verbindungsaufbau – 3-way
Handshake
1. Client an Server: Paket mit
Flag SYN (synchronize)
2. Server an Client: Paket mit
Flags SYN, ACK
(synchronize, acknowledge)
3. Client an Server: Paket mit
Flag ACK (acknowledge)
Danach ist die Verbindung
hergestellt!

TCP Verbindungsaufbau – 3-way
Handshake – TCP SYN Flood
1. Client an Server: Paket mit
Flag SYN (synchronize)
2. Server an Client: Paket mit
Flags SYN, ACK
(synchronize acknowledge)
Bereits zu diesem Zeitpunkt,
muss der Server Ressourcen für
die Verwaltung der halb offenen
Verbindung Reservieren!
3. Der Client schickt kein Paket
mit Flag ACK (acknowledge)
ggf ein neues SYN Paket

TCP SYN Flood - Auswirkungen
• Timeout für halb offene Verbindungen normalerweise 60 Sekunden
(Dies kann je Betriebssystem variieren und ist auch manuell konfigurierbar)
• TCP-Stack im Kernel versucht nach Verbindungsfehler standardmäßig fünf Mal erneut
eine Verbindung herzustellen. (Auch dies kann manuell konfiguriert werden)
• Während dieser Zeit werden sowohl die Adresse des Clients als auch der Status
der noch halb offenen Verbindung im Speicher des Netzwerkstacks gespeichert, um die
Verbindung später vervollständigen zu können.
• Dies belegt Ressourcen auf dem Server. Sind alle Ressourcen des Servers
aufgebraucht, können keine neuen Verbindungen mehr aufgebaut werden, was zur
Zugriffsverweigerung (Denial of Service) führt.
• Da SYN-Pakete sehr klein sind und auch ohne großen Rechenaufwand erzeugt
werden können, ist dieser Angriff besonders unausgewogen. Der Verteidiger
benötigt mehr Ressourcen zur Abwehr als der Angreifer für den Angriff selbst.
Betroffene Ressourcen:
Tabelle für TCP Verbindungen, Hauptspeicher, Backlog queue des TCP-Stacks
(springt als Warteschlange ein, wenn zu viele Verbindungen gleichzeitig offen sind)

TCP SYN Flood - Zuordnung zu
Gefährdungskategorie und Attacken-Art
Gefährdungskategorie:
• Störung (disruption) – Gefährdung der
Verfügbarkeit und Integrität
Attacken – Art:
• Obstruktion – Systembehinderung
Systemüberlastung mittels Denial-of-Sevice
(DOS) Attacke

TCP SYN Flood - Gegenmaßnahmen
• Eine Echtzeitanalyse des Angriffs durch eine
intelligente Firewall (Paketfilter für IP-
Spoofing) – Problem: Auch guter Traffic wird
für die Zeit des Angriffs geblockt!!!
• Der SYN-Cookie - Mechanismus

Der SYN Cookie Mechanismus im Detail
Bei dem Prinzip der SYN-Cookies speichert der Server keine Informationen über die
halboffene TCP-Verbindung. Daher müssen keine Ressourcen belegt werden.
Es wird zwar wie beim 3-way-Handshake üblich, ein SYN/ACK-Paket vom Server
Zurückgeschickt, dieses ist allerdings mit einer speziell generierten Sequenznummer
versehen.
Dieses SYN Cockie ist eine MD5 Prüfsumme über:
• Zeitstempel
• Sender- und Empfänger - IP-Adresse
• Port
• Geheimnis
Im Normalfall antwortet der Client, was bei SYN-Flood-Angriffen nicht der Fall ist, und schickt
den Cookie im ACK-Paket wieder zurück. Der Server prüft nun die Sequenznummer des ACK,
dekrementiert diese um 1 und bildet erneut die MD5-Prüfsumme. Ist die Prüfung erfolgreich, so
stellt er die Verbindung her. Ein Vorteil der SYN-Cookies ist, dass auf Client-Seite keine
spezielle Implementierung vorhanden sein muss, da das Cookie im üblichen SYN/ACK-Paket
gesendet wird.

TCP SYS Flood
Danke für Eure Aufmerksamkeit

Quellen
• http://de.wikipedia.org/wiki/SYN-Flood
• http://burnachurch.com/60/syn-flood-kurzerklaert
• http://tools.ietf.org/html/rfc4987