12. Проблема!
После получения ACK атакующий
может не высылать FIN
=> соединение не закрывается
=> ресурсы не освобождаются
Так называемая «FIN-WAIT-2 атака»
14. Решение
Stateful firewall
Помним уже установленные соединения
Ограничиваем количество новых
Ссылки:
http://www.microsoft.com/technet/security/Bulletin/MS09-048.mspx
http://kbase.redhat.com/faq/docs/DOC-18730
http://www.cisco.com/warp/public/707/cisco-sa-20090908-tcp24.shtml
24. Параметры TCP
У автомата TCP есть мно-о-о-го
параметров
Не путать с TCP options!
Таймауты
Размеры временных окон
Фрагментация
...
25. Параметры TCP
Вендоры используют стандартные
значения параметров TCP
Стандартные значения одинаково [не]
работают для всех приложений
26. Один TCP – на всех
Web-сервер
Телеметрия
Марсоход
BitTorrent
MMS-гейт
VPN
Электронное голосование
Комплекс ПВО
27. Но у нас не марсоход!
1. ОС с параллельными SYN Cookies
2. Параметры автомата TCP
Linux: net.ipv4.tcp_fin_timeout=5
Windows: HKLMSystemCurrentControlSet
ServicesTcpipParameters
TcpFinWait2Delay [?]
28. Now it works!
«Кончил, не кончил – 3 минуты!»
– М. С. Горбачев
Отключаем connection tracking
Боремся с SYN Flood, как привыкли
32. Sockstress
Тёмная лошадка
Можем делать предположения
Имитация SYN Cookies в ботнете
Атака на механизмы борьбы с
перегрузкой сети
33. Выводы?
Протокол TCP был создан в 1970-х годах
Автомат TCP-соединения описан
недостаточно подробно
Исследуя автомат TCP, можно находить
актуальные уязвимости
34. Прогноз
Анализ автомата TCP-соединения даст
информацию о новых атаках
Чтобы быть готовым к будущему,
необходимо проводить такой анализ
35. Сейчас?
Outpost24 тестирует протокол TCP
Это даёт результаты
Highload Lab занимается моделированием
автомата TCP-соединения по
спецификации
Сложно, но перспективнее
36. Что же делать?
Мы научились бороться с тандемной
атакой. Уже хорошо
Ждём новостей о новых проблемах