Il Syn Flood

Il SYN Flood

Il SYN Flood è un tipo di attacco DoS (denial of service) che si basa sulle regole di comunicazione del three handshake ( le regole per stabilire una connessione TCP con un server ).

Infatti secondo queste regole per stabilire una connessione con un server bisogna mandare un pacchetto con flag SYN attivo e aspettarne un altro con flag SYN/ACK attivo, ed infine mandare un terzo pacchetto con flag ACK attivo.

Ma qua entra in gioco l'IP Spoofing e mandando un SYN spoofato con ip 123.456.789.1 (per esempio) il server manderà il secondo pacchetto (flag SYN/ACK) al client con IP 123.456.789.1 in attesa del terzo pacchetto.Ovviamente, non esistendo, il client con IP 123.456.789.1 non risponderà e la macchina dopo qualche secondo invierà un pacchetto con RST attivo.

Il SYN Flood deriva proprio dal fatto che il server, una volta che avrà mandato il pacchetto con flag SYN/ACK attivo, si metterà in attesa per qualche secondo, e sovraccaricando il server di pacchetti spoofati si potrebbero far gravi danni al server.

SYN Flood come difendersi

Per difendersi dal SYN Flood sono stati inventati da djb i syncookie, che sono l'unica forma di difesa contro il SYN Floodding oltre ovviamente ai firewall che possono solo parzialmente bloccare questo attacco.
I syncookies agiscono cambiando la composizione del pacchetto SYN/ACK che il server manda in risposta.

Gli unici 2 sistemi operativi che possono usare questo tipo di difesa sono linux e solaris, ma purtroppo per chi non conosce bene linux è un problema attivarli perchè non sono impostati di default nel kernel.

Alla prossima, BlackHack