Quel est le but d'utiliser des adresses IP aléatoires dans SYN Flood Attack?
Quel est le but d'utiliser des adresses IP aléatoires dans SYN Flood Attack ?
Un client ouvre une connexion TCP en envoyant un paquet SYN à un serveur. Le serveur répond avec un seul SYN + ACK, et le client répond à nouveau avec un ACK. En raison de la latence naturelle du réseau, le le serveur peut attendre un court instant après l'envoi de SYN + ACK à l'adresse source spécifiée pour une réponse ACK, et ce comportement est ce qu'exploite un flux SYN. Parce que l'adresse source a été usurpée, la réponse ne viendra jamais. Si le serveur attend suffisamment de fausses connexions qui ne seront jamais terminées, il deviendra impossible d'ouvrir de nouvelles connexions, légitimes ou non. Cette condition est appelée déni de service.
Les attaques par inondation SYN ne nécessitent pas que l'attaquant reçoive une réponse de la victime, il n'est donc pas nécessaire que l'attaquant utilise sa véritable adresse source. L'usurpation de l'adresse source améliore à la fois l'anonymat en rendant plus difficile la traque de l'attaquant et en rendant plus difficile pour la victime de filtrer le trafic en fonction de l'IP. Après tout, si chaque paquet utilisait la même adresse source (usurpée ou non), tout pare-feu décent commencerait rapidement à bloquer tous les paquets SYN de cette adresse et l'attaque échouerait.
Un déluge SYN peut être plus facilement détecté lorsque la source de l'attaque utilise la même adresse IP. Donc, si un défenseur détecte et est capable de bloquer cette activité, vous n'aurez pas une attaque réussie. L'utilisation d'adresses IP aléatoires dans le cadre d'une inondation SYN rend la détection et la défense beaucoup plus difficiles à faire, ce qui a plus de chances d'être une attaque réussie.
Vous doublez votre trafic en n'utilisant pas votre propre IP. La réponse de la victime est envoyée à l'adresse IP que vous avez usurpée, qui répond par un RST (sous réserve de mises en garde). Être imprévisible les rend plus difficiles à bloquer.
Cependant, ils ne sont souvent pas complètement aléatoires. Ils sont souvent choisis pour être sur le réseau attaqué. De plus, comme les filtres ne sont pas si intelligents, ils s'en tirent souvent avec des adresses IP mal mélangées.