SYN Cookie Network Server Security

Question

Jeśli mój serwer zaimplementuje pliki cookie SYN w celu uniknięcia ataków DoS, ale atakujący wie, że serwer wykorzystuje pliki cookie SYN, czy jest możliwe, że mogliby utworzyć połowiczne/całkowicie otwarte połączenie po prostu wysyłając potwierdzenie ACK?

Wiem, że pliki cookie SYN korzystają z algorytmu w celu utworzenia unikalnego początkowego połączenia, a jeśli uzgadnianie atakujących jest niekompletne, SYN jest usuwany i można go odtworzyć tylko po otrzymaniu prawidłowego SYN-ACK.

Ale czy atakujący może jakoś sobie poradzić?

Answer 1

nr, to nie powinny mieć możliwość atakującemu znać co SYN wartość początkowa sekwencja jest w celu uzupełnienia TCP 3 way handshake. Co więcej, żaden port TCP nie może być w stanie półotwartym, gdy używają plików cookie SYN. Odpowiedź jest zakorzeniona w kryptografii.

Implementacja SYN Cookies może użyć Symmetric Cipher do generowania identyfikatorów sekwencji. Na przykład, po uruchomieniu komputera wygeneruje losowy klucz tajny, który będzie używany dla wszystkich identyfikatorów sekwencji TCP. Kiedy urządzenie odbiera i przychodzi pakiet SYN do otwartego portu, generuje identyfikator sekwencji poprzez szyfrowanie adresu IP serwera, adresu IP klienta i używanych numerów portu. Serwer nie musi śledzić wysłanego identyfikatora początkowego sekwencji SYN, więc nie ma on stanu na klienta, a pomysł "półotwartego" gniazda tcp tak naprawdę nie ma zastosowania (at-host). najmniej pod względem DoS). Teraz, gdy klient odsyła swój pakiet SYN-ACK, musi zawierać początkowy identyfikator sekwencji SYN. Kiedy serwer otrzyma początkowy identyfikator sekwencji z powrotem od klienta w pakiecie SYN-ACK, może działać wstecz, szyfrując adres IP serwera, adres IP klienta i używane numery portów.