Cosa sono i cookie SYN?
I cookie SYN sono un metodo mediante il quale gli amministratori di server possono impedire una forma di attacco denial of service (DoS) contro un server attraverso un metodo noto come flooding SYN. Questo tipo di attacco utilizza il processo mediante il quale viene stabilita una connessione tra un client e un host, nota come stretta di mano a tre vie, per causare all'host un numero eccessivo di richieste client, bloccando o arrestando in modo anomalo il sistema. Tali attacchi sono in gran parte obsoleti, tuttavia, attraverso metodi come l'uso dei cookie SYN che li aggirano. Questi cookie non rappresentano una minaccia o un rischio per la sicurezza dell'host o dei client e non causano problemi o problemi di connettività.
Il modo in cui funzionano i cookie SYN si basa sul modo base con cui molti server e utenti, o sistemi host e client, si connettono tra loro. Questo processo è noto come stretta di mano a tre vie e inizia quando il sistema client invia una richiesta di connessione al sistema host. La richiesta si chiama messaggio di sincronizzazione o SYN e viene ricevuta dal sistema host. Questo sistema host riconosce quindi che il SYN è stato ricevuto inviando un riconoscimento o un messaggio SYN-ACK al client.
Una volta che il sistema client riceve questo messaggio SYN-ACK, un messaggio ACK finale viene inviato dal client all'host. Quando il sistema host riceve questo ACK finale, consente al client di accedere al sistema e può quindi ricevere richieste SYN aggiuntive da altri client. La maggior parte dei server host ha una coda abbastanza piccola per le richieste SYN, di solito solo otto alla volta.
La forma di attacco DoS nota come inondazione SYN lo utilizza per sopraffare un sistema host. Questo viene fatto inviando un messaggio SYN, a cui un host SYN viene inviato dall'host in risposta, ma il messaggio ACK finale non viene inviato dal client, mantenendo aperta una posizione nella coda. Se ciò viene eseguito correttamente durante un attacco alluvione SYN, l'intera coda viene occupata da queste richieste senza risposta e non è in grado di accettare nuove richieste da parte di client legittimi.
I cookie SYN aiutano a eludere questo tipo di attacco consentendo a un host di agire come se avesse una coda più ampia di quella che ha realmente. In caso di attacco alluvione SYN, l'host può utilizzare i cookie SYN per inviare un SYN-ACK a un client, ma elimina la voce SYN per quel client. Ciò sostanzialmente consente all'host di funzionare come se nessun SYN fosse mai stato ricevuto.
Una volta ricevuto dal client questo SYN-ACK con i cookie SYN, tuttavia, l'ACK corrispondente inviato all'host include i dati relativi al SYN-ACK originale. L'host può quindi utilizzare questo ACK e i cookie SYN inclusi per ricostruire il SYN-ACK originale e la voce appropriata per quella richiesta originale. Una volta fatto ciò, al client può essere permesso di connettersi all'host, ma l'intero processo ha effettivamente eluso la coda che potrebbe altrimenti essere occupata da un attacco di alluvione SYN.