SYN Cookie Network Server Security

Question

Si mi servidor implementa SYN Cookies para evitar ataques DoS, pero un atacante sabe que el servidor utiliza SYN Cookies, ¿es posible que creen una conexión mitad/completamente abierta simplemente enviando un ACK?

Sé que las cookies SYN utilizan un algoritmo para crear la conexión inicial única, y si el saludo de los atacantes es incompleto, el SYN se elimina y solo se puede recrear recibiendo un SYN-ACK válido.

¿Pero podría un atacante todavía de alguna manera administrar?

Answer 1

Sin, que no debería ser posible para un atacante para saber cuál es el valor de secuencia inicial SYN es con el fin de completar la forma apretón de manos TCP 3. Además, no es posible que un puerto tcp esté en un estado medio abierto cuando utilizan cookies SYN. La respuesta está enraizada en la criptografía.

Una implementación de SYN Cookies podría usar Symmetric Cipher para generar identificaciones de secuencia. Por ejemplo, cuando la máquina arranca generará una clave secreta aleatoria que se utilizará para todas las identidades de secuencia TCP. Cuando la máquina recibe un paquete SYN entrante en un puerto abierto, generará una identificación de secuencia encriptando la dirección IP del servidor, la dirección IP del cliente y los números de puerto que se utilizan. El servidor no necesita hacer un seguimiento del id. De secuencia inicial SYN que envió, por lo que no tiene un estado por cliente y esta idea de un socket tcp "medio abierto" realmente no se aplica (at- menos en términos de DoS). Ahora, cuando el cliente devuelve su paquete SYN-ACK, necesita contener el ID de secuencia inicial SYN. Cuando el servidor recupera esta identificación de secuencia inicial del cliente en un paquete SYN-ACK, puede funcionar al revés, cifrando la dirección IP del Servidor, la dirección IP del Cliente y los números de puerto que se utilizan.