[Δίκτυο] Γιατί η τετράπλευρη χειραψία SCTP μπορεί να αντισταθεί στις επιθέσεις SYN

2024-07-11

Σε βάθος κατανόηση της ασφάλειας SCTP: από χειραψία τεσσάρων κατευθύνσεων στην άμυνα έναντι επιθέσεων SYN

εισαγωγή

Στον κόσμο των δικτυακών επικοινωνιών, η ασφάλεια και η αξιοπιστία είναι ζωτικής σημασίας. Το παραδοσιακό TCP (Transmission Control Protocol) χρησιμοποιεί μια τριπλή χειραψία κατά τη δημιουργία μιας σύνδεσης, αλλά αυτός ο μηχανισμός έχει ορισμένες οπές ασφαλείας, όπως επιθέσεις SYN. Το SCTP (Stream Control Transmission Protocol), ως πρωτόκολλο αναδυόμενου επιπέδου μεταφοράς, βελτιώνει αποτελεσματικά την ασφάλεια με την εισαγωγή ενός μηχανισμού χειραψίας τεσσάρων κατευθύνσεων. Αυτό το άρθρο θα συνοψίσει τα πλεονεκτήματα ασφαλείας του SCTP λεπτομερώς, θα το συγκρίνει με τον μηχανισμό τριπλής χειραψίας του TCP και θα διερευνήσει τις αρχές των επιθέσεων SYN και τις αμυντικές στρατηγικές τους.

TCP τριμερής χειραψία και επίθεση SYN

μηχανισμός χειραψίας τριών κατευθύνσεων

Η δημιουργία μιας σύνδεσης TCP βασίζεται σε μια διάσημη διαδικασία τριπλής χειραψίας:

Ο πελάτης στέλνει SYN A: Ο πελάτης στέλνει ένα σύγχρονο αίτημα στον διακομιστή, υποδεικνύοντας ότι ο πελάτης θέλει να δημιουργήσει μια σύνδεση.
Ο διακομιστής επιστρέφει SYN B, ACK A 1: Αφού ο διακομιστής λάβει το αίτημα, αποθηκεύει το αίτημα και στέλνει μια σύγχρονη απάντηση και επιβεβαίωση στον πελάτη.
Ο πελάτης στέλνει ACK B 1: Μετά τη λήψη της απάντησης από τον διακομιστή, ο πελάτης στέλνει πληροφορίες επιβεβαίωσης στον διακομιστή για να ολοκληρώσει τη δημιουργία σύνδεσης.

Η αρχή της επίθεσης ΣΥΝ

Η επίθεση SYN εκμεταλλεύεται μια αδυναμία στη διαδικασία τριπλής χειραψίας TCP. Ένας εισβολέας το κάνει αυτό στέλνοντας μεγάλο αριθμό αιτημάτων SYN στον διακομιστή χωρίς να ολοκληρώσει τα τελευταία βήματα της χειραψίας. Αυτή τη στιγμή, ο διακομιστής θα διατηρήσει μεγάλο αριθμό πελατών σε κατάσταση SYN-RECV, εξαντλώντας έτσι τους πόρους διακομιστή Όταν υπάρχουν νέα αιτήματα SYN, θα απορριφθούν, επηρεάζοντας τις κανονικές υπηρεσίες.

Τετραμερής χειραψία και βελτίωση ασφάλειας του SCTP

Μηχανισμός χειραψίας τεσσάρων κατευθύνσεων

Το SCTP βελτιώνει την ασφάλεια της εγκατάστασης σύνδεσης εισάγοντας την τέταρτη χειραψία:

Ο πελάτης στέλνει INIT: Ο πελάτης στέλνει ένα αίτημα προετοιμασίας στον διακομιστή.
Ο διακομιστής επιστρέφει INIT ACK: Αφού λάβει το αίτημα προετοιμασίας, ο διακομιστής επιστρέφει μια επιβεβαίωση.
Ο διακομιστής στέλνει COOKIE ECHO: Ο διακομιστής στέλνει ένα COOKIE στον πελάτη και απαιτεί από τον πελάτη να μεταφέρει το COOKIE στο επόμενο αίτημα.
Ο πελάτης μεταφέρει COOKIE και στέλνει COOKIE ACK: Αφού λάβει το COOKIE, ο πελάτης το μεταφέρει στο αίτημα και το επιστρέφει στον διακομιστή Ο διακομιστής δημιουργεί τη σύνδεση αφού περάσει την επαλήθευση.

Ο ρόλος του COOKIE

Ο μηχανισμός COOKIE στο SCTP είναι το κλειδί για την αντίσταση στις επιθέσεις SYN. Όταν ο διακομιστής λαμβάνει ένα αίτημα σύνδεσης, δεν εκχωρεί αμέσως πόρους μνήμης, αλλά δημιουργεί ένα COOKIE και το στέλνει στον πελάτη. Ο πελάτης μεταφέρει αυτό το COOKIE στο επόμενο αίτημα και ο διακομιστής επαληθεύει το COOKIE για να επιβεβαιώσει την ταυτότητα του πελάτη και τη νομιμότητα του αιτήματος, αποφεύγοντας έτσι τη μη έγκυρη κατανομή πόρων.

Συμπερασματικά

Συγκρίνοντας τις διαδικασίες δημιουργίας σύνδεσης του TCP και του SCTP, μπορούμε να δούμε ότι το SCTP βελτιώνει σημαντικά την ασφάλεια μέσω του μηχανισμού χειραψίας τεσσάρων κατευθύνσεων και COOKIE. Αυτός ο μηχανισμός όχι μόνο αποφεύγει τις επιθέσεις SYN, αλλά μειώνει επίσης τη σπατάλη πόρων διακομιστή και βελτιώνει την αξιοπιστία της επικοινωνίας δικτύου. Καθώς η τεχνολογία δικτύου αναπτύσσεται, αυτά τα πλεονεκτήματα του SCTP μπορεί να το κάνουν πιο δημοφιλή επιλογή από το TCP σε ορισμένα σενάρια.

Κοινή χρήση τεχνολογίας