Hva er SYN-informasjonskapsler?
SYN-informasjonskapsler er en metode som serveradministratorer kan forhindre en form for angrep mot tjenestenekt (DoS) mot en server gjennom en metode kjent som SYN-flom. Denne typen angrep benytter prosessen der det opprettes en forbindelse mellom en klient og vert, kjent som en treveis håndtrykk, for å få verten til å ha et for høyt antall klientforespørsler, fryse eller krasje i systemet. Slike angrep har imidlertid i stor grad blitt utdatert, gjennom metoder som bruk av SYN-informasjonskapsler som omgår dem. Disse informasjonskapslene utgjør ikke en sikkerhetstrussel eller risiko for verten eller klientene og forårsaker ikke tilkoblingsproblemer eller problemer.
Måten SYN cookies fungerer på er den grunnleggende måten som mange servere og brukere, eller verts- og klientsystemer, kobler seg til hverandre. Denne prosessen er kjent som en treveis håndtrykk og begynner når klientsystemet sender en forespørsel om å koble seg til vertssystemet. Forespørselen kalles en synkroniseringsmelding eller SYN og mottas av vertssystemet. Dette vertssystemet erkjenner da at SYN er mottatt ved å sende en kvittering, eller SYN-ACK-melding, tilbake til klienten.
Når klientsystemet mottar denne SYN-ACK-meldingen, blir en endelig ACK-melding sendt tilbake av klienten til verten. Når vertssystemet mottar denne endelige ACK, gir klienten tilgang til systemet og kan deretter motta ytterligere SYN-forespørsler fra andre klienter. De fleste vertsservere har en ganske liten kø for SYN-forespørsler, vanligvis bare åtte til enhver tid.
Formen av DoS-angrep kjent som SYN-flom bruker dette for å overvelde et vertssystem. Dette gjøres ved å sende en SYN-melding, som en SYN-ACK blir sendt av verten som svar, men den endelige ACK-meldingen sendes ikke av klienten, noe som holder en posisjon i køen åpen. Hvis dette gjøres ordentlig under et SYN-flomangrep, blir hele køen okkupert av disse ubesvarte forespørslene og klarer ikke å godta nye forespørsler fra legitime klienter.
SYN-informasjonskapsler hjelper til med å omgå denne typen angrep ved å la en vert fungere som om den har en større kø enn den virkelig har gjort. I tilfelle et SYN-flomangrep, kan verten bruke SYN-informasjonskapsler for å sende en SYN-ACK til en klient, men det eliminerer SYN-oppføringen for den klienten. Dette lar i utgangspunktet verten fungere som om ingen SYN noen gang ble mottatt.
Når først denne SYN-ACK med SYN-informasjonskapsler er mottatt av klienten, inkluderer den tilsvarende ACK som er sendt tilbake til verten data om den opprinnelige SYN-ACK. Verten kan deretter bruke denne ACK og de inkluderte SYN-informasjonskapslene for å rekonstruere den opprinnelige SYN-ACK og den aktuelle oppføringen for den opprinnelige forespørselen. Når dette er gjort, kan klienten få lov til å koble seg til verten, men hele prosessen omgått effektiv køen som ellers kan være okkupert av et SYN-flomangrep.