「SYN flood」の版間の差分
提供: セキュリティ
(ページの作成:「<!-- vim: filetype=mediawiki --> [[{{PAGENAME}}]]攻撃 は、インターネットのDoS攻撃のひとつです。TCPのSYN ACKを無視し、サー...」) |
|||
| 行1: | 行1: | ||
| − | + | [[SYN flood]]攻撃 は、[[インターネット]]の[[DoS攻撃]]のひとつです。[[TCP]]の'''SYN ACK'''を無視し、サーバリソースを枯渇させます。対策として、[[SYN cookies]]や'''SYN cache''' が考えられました。 | |
| − | + | ||
| − | + | ||
| − | [[ | + | |
| − | 読み方 | + | '''読み方''' |
| − | ;[[ | + | ;[[SYN flood]]:すぃん ふらっど |
__TOC__ | __TOC__ | ||
== 概要 == | == 概要 == | ||
| − | + | [[SYN flood]]攻撃 は、[[インターネット]]の[[DoS攻撃]]のひとつです。 | |
| − | [[ | + | |
[[TCP]]接続は、以下の[[3ウェイ・ハンドシェイク]]で行われます。 | [[TCP]]接続は、以下の[[3ウェイ・ハンドシェイク]]で行われます。 | ||
| 行18: | 行14: | ||
# クライアントは、SYN ACK パケットを受信すると、サーバに[[ACK]]を送信し、サーバと通信をはじめます。 | # クライアントは、SYN ACK パケットを受信すると、サーバに[[ACK]]を送信し、サーバと通信をはじめます。 | ||
| − | [[ | + | [[SYN flood]] は、3のACKを返す処理をやらずに、接続を中途半端な状態にします。 |
サーバは、[[ACK]]パケットが届かない場合、ある程度の期間、待たなければならないと決まっています。クライアントの応答を待っている間の期間は、クライアントに対する情報を[[OS]]内で保持し続けなければなりません。そのため、[[SYN]]パケットを受け取るたびに、メモリを消費していきます。これを利用して、大量の[[SYN]]パケットを送りつけて、システムのリソースを枯渇することで、[[DoS]]状態に陥らせます。 | サーバは、[[ACK]]パケットが届かない場合、ある程度の期間、待たなければならないと決まっています。クライアントの応答を待っている間の期間は、クライアントに対する情報を[[OS]]内で保持し続けなければなりません。そのため、[[SYN]]パケットを受け取るたびに、メモリを消費していきます。これを利用して、大量の[[SYN]]パケットを送りつけて、システムのリソースを枯渇することで、[[DoS]]状態に陥らせます。 | ||
| − | + | [[TCP]]の'''SYN ACK'''を無視し、サーバリソースを枯渇させます。 | |
| − | [[TCP]]の | + | |
| − | + | ||
== 対策 == | == 対策 == | ||
| − | + | 対策として、[[SYN cookies]]や'''SYN cache''' が考えられました。 | |
| − | 対策として、[[SYN cookies]]や | + | |
| − | + | ||
| − | + | ||
== 関連項目 == | == 関連項目 == | ||
| − | |||
* [[LetDown]] | * [[LetDown]] | ||
* [[IPスプーフィング]] | * [[IPスプーフィング]] | ||
* [[3ウェイ・ハンドシェイク]] | * [[3ウェイ・ハンドシェイク]] | ||
| + | <!-- vim: filetype=mediawiki | ||
| + | --> | ||
2015年9月23日 (水) 18:33時点における最新版
SYN flood攻撃 は、インターネットのDoS攻撃のひとつです。TCPのSYN ACKを無視し、サーバリソースを枯渇させます。対策として、SYN cookiesやSYN cache が考えられました。
読み方
- SYN flood
- すぃん ふらっど
概要
SYN flood攻撃 は、インターネットのDoS攻撃のひとつです。
TCP接続は、以下の3ウェイ・ハンドシェイクで行われます。
- クライアントがサーバに SYNパケットを送信する。
- SYNパケットを受け取ったサーバは、クライアントに対して、SYN ACKパケットを送信します。サーバは、クライアントの情報を記憶します。
- クライアントは、SYN ACK パケットを受信すると、サーバにACKを送信し、サーバと通信をはじめます。
SYN flood は、3のACKを返す処理をやらずに、接続を中途半端な状態にします。 サーバは、ACKパケットが届かない場合、ある程度の期間、待たなければならないと決まっています。クライアントの応答を待っている間の期間は、クライアントに対する情報をOS内で保持し続けなければなりません。そのため、SYNパケットを受け取るたびに、メモリを消費していきます。これを利用して、大量のSYNパケットを送りつけて、システムのリソースを枯渇することで、DoS状態に陥らせます。
TCPのSYN ACKを無視し、サーバリソースを枯渇させます。
対策
対策として、SYN cookiesやSYN cache が考えられました。