Lolokai – Supervision, systèmes, réseaux, base de données…

2

DoS : Attaque par SYN Flood

Loic FONTAINE 29 novembre 2011

L’attaque de type SYN Flood est une attaque qui permet de faire un Deny Of Service sur un service/une infrastructure. Ce type d’attaque permet de rendre indisponible la ressource visée.
Afin de pouvoir comprendre l’attaque par SYN Flood, nous allons dans un premier temps parler de l’établissement d’une connexion en TCP puis de l’attaque de type SYN Flood.

L’établissement d’une connexion en TCP

Le protocole de couche 4 (Transport) TCP comporte un certain nombre d’avantages en matière de gestion de la connexion : apporte une gestion des accusés de réception, une gestion des flux et de la congestion, base la connexion sur des ports de communication bien définis, est orienté-connexion.
Même s’il reste plus lourd que le protocole UDP est il est surtout utilisé lorsque l’on veut s’assurer de la bonne réception des données par le destinataire.
Dire que TCP est orienté connexion c’est dire que nous avons besoin d’établir une connexion avec la machine avec laquelle nous voulons communiquer avant de pouvoir commencer à transmettre les données.
L’établissement de cette connexion se fait de la façon suivante :

  • Le client envoi un paquet SYN au serveur
  • Le serveur répond avec un paquet SYN+ACK et réserve un slot de connexion au client (le serveur entre en mode SYN-RECEIVED pour cette connexion)
  • Le client répond avec un ACK afin de pouvoir démarrer le transfert des données

Analogie avec une conversation humaine :

  • Le client dit au serveur : « Bonjour, je veux communiquer avec toi, est ce que tu m’entends ? »
  • Le serveur répond : « Oui je t’entends bien, est ce que toi tu m’entends ? »
  • Le client répond : « Oui je t’entends »

Le transfert des données peut alors commencer.

Comment fonctionne le SYN Flood ?

Le SYN flood tire justement partie de cet établissement de connexion afin de pouvoir faire un DoS sur le service du serveur.
Le but va être de flooder (envoyer en très grande quantité) des paquets SYN au serveur (sans répondre par ACK) afin qu’il réserve à chaque fois un slot de connexions et ainsi faire en sorte qu’il soit tellement submerger de demandes connexions qu’il n’arrive plus à répondre aux requêtes SYN légitimes des autres machines.
De ce fait, nous arrivons à mettre à bas un service sur un serveur.

Conclusion

Nous avons vu dans cet article, qu’est ce qu’une attaque par SYN Flood. Ce genre d’attaque peut être particulièrement dangereux s’il est réalisé avec un réseau de botnet. Sur un réseau local, le SYN Flood peut s’avérer extrêmement efficace contre un serveur d’entreprise.

Avez-vous déjà été victime de SYN Flood ? Comment vous en êtes-vous protégé ? La parole est à vous :)Loic FONTAINE

Comments (2)

Laisser un commentaire

 

Login to your account

Can't remember your Password ?

Register for this site!