3. Устройство Интернета
Прикладной уровень
HTTP, HTTPS, FTP, ...
Транспортный уровень
TCP, UDP, ...
Сетевой уровень
IP, ...
Канальный уровень
Ethernet, ...
4. Протокол TCP
Придуман DARPA
Используется для всего
От задач Минобороны и NASA
До гражданских приложений
TCP – основа протокола HTTP
5. Протокол TCP
Задачи:
Целостность данных
Устранение дубликатов
Порядок
Гарантия доставки
Борьба с перегрузкой сети
12. Проблема!
После получения ACK атакующий
может не высылать FIN
=> соединение не закрывается
=> ресурсы не освобождаются
Так называемая «FIN-WAIT-2 атака»
14. Решение
Stateful firewall
Помним уже установленные соединения
Ограничиваем количество новых
Ссылки:
http://www.microsoft.com/technet/security/Bulletin/MS09-048.mspx
http://kbase.redhat.com/faq/docs/DOC-18730
http://www.cisco.com/warp/public/707/cisco-sa-20090908-tcp24.shtml
24. Параметры TCP
У автомата TCP есть мно-о-о-го
параметров
Не путать с TCP options!
Таймауты
Размеры временных окон
Фрагментация
...
25. Параметры TCP
Вендоры используют стандартные
значения параметров TCP
Стандартные значения одинаково [не]
работают для всех приложений
26. Один TCP – на всех
VPN
Web-сервер
Телеметрия
MMS-гейт
Комплекс ПВО
BitTorrent
Электронное голосование
Марсоход
27. Но у нас не марсоход!
1. ОС с параллельными SYN Cookies
2. Параметры автомата TCP
Linux: net.ipv4.tcp_fin_timeout=5
Windows: HKLMSystemCurrentControlSet
ServicesTcpipParameters
TcpFinWait2Delay [?]
28. Now it works!
«Кончил, не кончил – 3 минуты!»
– М. С. Горбачев
Отключаем connection tracking
Боремся с SYN Flood, как привыкли
32. Sockstress
Тёмная лошадка
Можем делать предположения
Имитация SYN Cookies в ботнете
Атака на механизмы борьбы с
перегрузкой сети
33. Выводы?
Протокол TCP был создан в 1970-х годах
Автомат TCP-соединения описан
недостаточно подробно
Исследуя автомат TCP, можно находить
актуальные уязвимости
34. Прогноз
Анализ автомата TCP-соединения даст
информацию о новых атаках
Чтобы быть готовым к будущему,
необходимо проводить такой анализ
35. Сейчас?
Outpost24 тестирует протокол TCP
Это даёт результаты
Highload Lab занимается моделированием
автомата TCP-соединения по
спецификации
Сложно, но перспективнее
36. Что же делать?
Мы научились бороться с тандемной
атакой. Уже хорошо
Ждём новостей о новых проблемах