SYNフラッドがホームルーターに与える影響
DoS攻撃がホームルーターにどのように影響するか知りたいと思いました。特に、SYNフラッドがホームルーターに与える影響に興味があります。
私が興味を持っているのは、読んだシスコのドキュメントが原因です。この文書の中で、SYNフラッド攻撃はホームルーターに影響を与える可能性があると述べています。 SYNフラッドは攻撃するTCPポートを指定する必要があるため、私にはこれは奇妙に思えます。
ルーターに対する基本的なSYNフラッドを説明するために、次の画像をすばやくまとめました。
画像に関する注意:画像では、攻撃者は赤いAで表されています。攻撃者はSYNメッセージをルーターに送信しています。 SYNパケットは、発信元をマスクするために偽造IPアドレスを持っています。疑問符は、攻撃者が偽の発信元IPアドレスとして設定したランダムなIPアドレスを示しています。緑の線は、ランダムなIPアドレスにSYN-ACKパケットを送信するルーターを反映しています。
SYNフラッド攻撃を実行する場合、攻撃するポートも指定します。私の知る限り、ルーターは常に異なるポートを開いており、非同期にすることができます。では、攻撃者はどのポートを攻撃すべきかをどのようにして知るのでしょうか?攻撃者はどのポートがいつ開いているかを知る必要はありませんか?
ルーターに対してSYNフラッドが機能していることを確認できる唯一の方法は、ルーターのパブリックポートが常に開いていて、SYNフラッドがルーターにすべてのRAMの使用を強制した場合です。
誰かがこの問題について何らかの説明を提供できますか?
SYNフラッドがホームルーターに対して機能する主な方法は3つあります。
ルーターがNATを実行していて、ポートがサーバーに転送されている場合、SYNフラッドがルーターのNATテーブルをいっぱいにして、接続を切断する可能性があります。
SYNフラッドは、単純な帯域幅枯渇攻撃として機能する可能性があります。典型的なホームルーターは非対称接続上にあり、制限されたpstream帯域幅があるため、閉じたポートをターゲットとするSYNフラッドは、ルーターによって送信されたRSTパケットで上流接続を詰まらせる可能性があります。
多くの場合、ホームルーターのファームウェアはかなり壊れやすいものです。単純にSYNパケットを高速でスローすると、クラッシュが発生し、接続が切断される可能性があります。
ルーターは通常、構成Webインターフェースへのアクセスを提供する軽量のWebサーバーを実行しています。ほとんどの場合、ポート80、8080、またはその他の一般的なポートで実行されます(ユーザーが変更しない場合)。
攻撃者(ローカルサブネットに立っており、「リモート管理」のようなものがルーターで有効になっておらず、WANポートはパブリックIPアドレスを持っている)はポートスキャナーを使用してスキャンを実行できます。次に、そのポートで偽造IPを含むSYNパケットを送信します。次に、ルーターのTCP/IPスタックがSYN Cookieを実装していない場合、結果はその制限SYNキューに入れられ、メモリが限られているため、新しい接続の確立は不可能になりますSOHOルーターのような組み込みデバイスの。
鍵は、ホームルーターで開いているポートが何であるかだと思います。人がルーターを持っているだけでサーバーがない場合、またはDMZ=そのルーターの背後にある場合、ルーターはリクエストを無視してログに記録する必要があります。ただし、デフォルトでどのポートがデフォルトで開いているかはわかりません誰のルーターでも構いません。ポートスキャンを実行することもできますが、ルーターを100%制御して必要に応じて構成できる非常に優れたルーターがない限り、これらのダングシンフラッド攻撃を阻止する方法はありません。 、ネットワークが停止します。
ISPがそのトラフィックをフィルタリングするのはいいことです...ホームユーザーにとって、接続を作成または要求するためのISP側からの要求はないはずです。つまり、ホームネットワークの外部に他のサービスがない限り、接続が必要です。いずれにせよ、ISPが国際的なSynリクエストの受信を確認した場合、ルーターをvoidに送信するようにルーターを設定し、ホームユーザーにリクエストを転送しないでください。