Sécurité WebSYN Flood
Attaque réseau par saturation (déni de service)
DescriptionSachant qu'une connexion TCP s'établie en trois phases (SYN, SYN-ACk, ACK). Le SYN Flooding (aussi appelé TCP-SYN-Flooding) exploite ce mécanisme d'établissement en trois phases.
Les trois étapes sont :
- l'envoi d'un SYN (demande de synchronisation),
- la réception d'un SYN-ACK (synchronisation-aknowledgment)
- et l'envoi d'un ACK (aknowledgment)
Le principe est de laisser sur la machine cible un nombre important de connexions TCP en attentes. Pour cela, le pirate envoie un très grand nombre de demandes de connexion (flag SYN à 1), la machine cible renvoie les SYN-ACK (synchronisation-aknowledgment) en réponse au SYN reçus.
Le pirate ne répondra jamais avec un ACK (aknowledgment), et donc pour chaque SYN reçu la cible aura une connexion TCP en attente. Etant donné que ces connexions semi-ouvertes consomment des ressources mémoires au bout d'un certain temps la machine est saturée et ne peut plus accepter de connexion. Ce type de déni de service n'affecte que la machine cible.
Le pirate utilise un SYN Flooder comme synk4, en indiquant le port TCP cible et l'utilisation d'adresses IP source aléatoires pour éviter toute identification de la machine du pirate. Le fait de créer ces demi-connexions sans se faire repérer est facilement réalisable avec l'IP spoofing.
Solution- la limitation du nombre de connexions depuis la même source ou la même plage d'adresses IP.
- la libération des connexions semi-ouvertes selon un choix de client et un délai aléatoires.
- la réorganisation de la gestion des ressources allouées aux clients en évitant d'allouer des ressources tant que la connexion n'est pas complétement établie.
- l'utilisation de SYN cookies (vérification lors d'une demande de connexion TCP).
- l'analyse statistique du trafic (algorithme CUSUM).
- La commande flow mask.
Sources :
- EthNeo
- XTream
- Wikipedia
