SYN cookies
Jedná se o klíčový prvek obrany proti útoku zaplavením pakety protokolu TCP s příznakem SYN. Pro útok se používá anglické označení SYN flood. Hlavním tvůrcem technologie SYN-cookies je Daniel J. Bernstein který je definoval, jako "částečný výběr počátečního čísla sekvence paketu TCP". Především použití SYN-cookies dovoluje serveru snížit počet zahozených žádostí o spojení při naplnění fronty připravovaných spojení, což právě je cílem útočníka. Server se chová tak, jakoby se fronta zvětšila. Pokud server obdrží žádost o spojení (paket s příznakem SYN), pošle klientovi kladnou odpověď, tedy paket s příznaky SYN a ACK. Ovšem na rozdíl od obvyklého způsobu žádost pak vyhodí z fronty. A když přijde od klienta paket s příznakem ACK, server podle čísla sekvence pozná, o kterou žádost se jednalo. Tím je problém se zaplavením žádostmi o spojení vyřešen, neboť server si v paměti nic neukládá.
Obsah |
Implementace[editovat]
Při navazování TCP-spojení klient pošle serveru TCP-paket s příznakem SYN. Jako odpověď server pošle klientovi TCP-paket s příznaky SYN a ACK. Jak je možné se dočíst pod pojmem TCP, jedna z částí paketu se nazývá číslo sekvence (sequence number), kterého se v protokolu TCP užívá k seřazení paketů po průchodu sítí.Podle specifikace TCP může jedna ze stran určit číslo první sekvence, což druhá strana musí respektovat. Takže SYN-cookies jsou počáteční čísla sekvencí n, která jsou pečlivě vybírána podle následujících pravidel:
- Nechť t je čítač zvyšující se každých 64 sekund
- Nechť m je maximální velikost segmentu, kterou by měl server uchovávat v jednom záznamu fronty SYN
- Nechť s je čtyřiadvacetibitový výsledek tajné, kryptografické funkce počítaný přes IP adresu serveru i klienta, číslo portu a hodnotu čítače t
Takže počáteční TCP sekvence neboli SYN-cookie se počítá například takto:
- Prvních 5 bitů: t mod 32
- Další 3 bity: zakódovaná hodnota reprezentující číslo m
- Zbývajících 24 bitů: s
(Poznámka: Protože m se kóduje na tři bity, server může použít jen 8 jedinečných hodnot m.)
Server zvolil počáteční číslo TCP-sekvence a klient je povinen podle specifikace protokolu TCP toto respektovat. Paket s příznaky SYN a ACK přijde od klienta s číslem sekvence n+1. Server tedy odečte jedničku a má číslo sušenky, kterou poslal klientovi. Pak provede tyto operace:
- Zkontroluje hodnotu t, aby zjistil, zda již nevypršel časový limit.
- Přepočítá s, aby zjistil, zda je SYN-cookie platná.
- Zjistí hodnotu m z tříbitového kódu v SYN-cookie, což mu pomůže rekonstruovat záznam ve frontě SYN.
Pokud je vše v pořádku, pokračuje se v navazování podle obvyklého scénáře: pošle klientovi TCP paket s příznakem ACK.
Výhody[editovat]
Využití metody SYN-cookies neporušuje specifikace a je kompatibilní se všemi implementacemi protokolu TCP.
Nevýhody[editovat]
Při používání SYN-cookies je třeba mít na paměti tyto dvě věci:
- Číslo m je jen tříbitové, tedy jde o celé číslo 0 ÷ 7 (takže se skýtá jen osm možností)
- Paket SYN specifikuje též nastavení spojení (například větší datová okna), ale tato nastavení jsou zapomenuta, neboť pakety se neukládají
Tato omezení je třeba brát jako jistou míru sub-optimality. Jejich efekt je klienty postřehnut jen vzácně. Ale je-li server bez technologie SYN-cookies vystaven útoku, další pokusy o spojení jsou zamítnuty a to je dosti protivné. Zachování dosažitelnosti služby za cenu ztráty pár tajemných vychytávek je tedy rozumný kompromis.
Historie[editovat]
Techniku vytvořil Daniel J. Bernstein a Eric Schenk v září roku 1996. První implementaci provedl o měsíc později Jeff Weisberg na operačním systém SunOS. Eric Schenk uvolnil implementaci pro Linux v únoru roku 1997. (Současnou implementaci používá například net.ipv4.tcp_syncookies.)
