Navazování spojení
Z MiS
(Rozdíly mezi verzemi)
m (Oprava vzhledu, drobná doplnění.) |
m (Přidán SYN flood útok.) |
||
| Řádka 33: | Řádka 33: | ||
* ← SYN=0, ACK=<span style="background-color: red">1</span>, FIN=<span style="background-color: red">1</span> | * ← SYN=0, ACK=<span style="background-color: red">1</span>, FIN=<span style="background-color: red">1</span> | ||
* → SYN=0, ACK=<span style="background-color: red">1</span>, FIN=0 | * → SYN=0, ACK=<span style="background-color: red">1</span>, FIN=0 | ||
| + | |||
| + | |||
| + | == Dopady na bezpečnost == | ||
| + | ; SYN flood útok | ||
| + | * Princip navazování spojení využívá tzv. „SYN flood“ útok. | ||
| + | * Útočník posílá oběti požadavky SYN, ale nepotvrzuje je ACK. | ||
| + | * Oběť tedy musí vyhradit zdroje pro spojení, které zůstávají nevyužité až do doby, než vyprší maximální doba od požadavku (timeout). | ||
| + | * Tím útočník blokuje kapacitu serveru oběti. | ||
Aktuální verze z 16. 8. 2021, 08:45
- Transportní vrstva modelu ISO/OSI má za úkol provést navázání spojení.
- Předtím, než zařízení začne posílat data, nechá si od partnera potvrdit, že je připraven data přijmout.
Three-way handshake
- Protokol TCP používá pro navazování spojení tzv. „three-way handshake“.
- Postup komunikace
- Před odesláním prvního oktetu dat a před uzavřením komunikace proběhne vždy výměna tří datagramů:
- Žádost o otevření/uzavření spojení
- Potvrzení připravenosti partnera
- Schválení otevření/uzavření
- Tyto datagramy nenesou žádná data, pouze hlavičku, ve které jsou správně nastaveny bitové příznaky (flags).
- Příznaky v hlavičce TCP
-
SYN... „Synchronize“ ... „Chci začít komunikovat“ -
ACK... „Acknowledge“ ... „Potvrzuji předchozí požadavek“ -
FIN... „Finalize“ ... „Jsem hotov, chci ukončit spojení“
- Postup při navázání spojení
- → SYN=1, ACK=0, FIN=0
- ← SYN=1, ACK=1, FIN=0
- → SYN=0, ACK=1, FIN=0
- Postup při ukončení spojení
- → SYN=0, ACK=0, FIN=1
- ← SYN=0, ACK=1, FIN=1
- → SYN=0, ACK=1, FIN=0
Dopady na bezpečnost
- SYN flood útok
- Princip navazování spojení využívá tzv. „SYN flood“ útok.
- Útočník posílá oběti požadavky SYN, ale nepotvrzuje je ACK.
- Oběť tedy musí vyhradit zdroje pro spojení, které zůstávají nevyužité až do doby, než vyprší maximální doba od požadavku (timeout).
- Tím útočník blokuje kapacitu serveru oběti.
