Пакет использующийся в атаке

Пакет, использующийся в атаке, отличается от обычного тем, что в нем производится Подмена (spoofing) IP-адреса реального отправителя на несуществующий или нетрассируемый адрес. Архитектура 1Ру4-протокола сильно затрудняет обратную трассировку (маршрутизацию) такого адреса, что автоматически облегчает задачу злоумышленника. Итак, SYN-пакет, отправленный хакером на первом этапе, не содержит настоящего адреса источника. IP-адрес источника может быть заменен одним из не поддающихся маршрутизации адресов. Скорее всего, таким адресом будет зарезервированный адрес локальной сети1. После получения SYN-паке — та сервер попытается послать ответный SYN/ACK-пакет на несуществующий адрес. У TCP/IP-протокола есть определенное время, в течение которого сервер будет ждать со стороны клиента АСК-подтверждения, но так как адрес отправителя фальшивый, то соответствующий АСК-пакет не придет никогда. Другими словами, в случае SYN-атаки третий этап (рис. 2.1) не начнется, и инициализация соединения останется в Полуоткрытом состоянии. Очередь соединений, которая отвечает за регулирование попыток установления новых сессий, позволяет образовываться только ограниченному числу полуоткрытых соединений. Если это число превышено, последующие соединения с портом игнорируются. Значит, если очередь полностью заполнена, то ни один пользователь уже не сможет установить ТСР-соединение с сервером. Продолжительная атака SYN-переполнением позволяет постоянно заполнять очередь полуоткрытых соединений. Для этого нападения хакеру не потребуется высокоскоростной канал. Еще одно преимущество атаки: SYN — пакеты не содержат настоящего адреса отправителя, так что отследить хакера практически невозможно. Примечательно, что взломщик может заменить адрес отправителя SYN — пакета реально существующим адресом. В этом случае администратору атакуемой сети придется столкнуться с проблемой фильтрации трафика, так как по этому адресу может быть расположен клиент компании, ее подразделение или сервер делового партнера.