SYN и Cisco

Для защиты сетевой инфраструктуры от SYN-переполнения Cisco предлагает воспользоваться опцией перехвата TCP-пакетов (TCP Intercept). В режиме TCP Intercept маршрутизаторы перехватывают SYN-пакеты, удовлетворяющие определенным условиям. Кроме того, программа маршрутизатора сама отвечает на клиентский SYN-запрос, освобождая от этой работы защищенный сервер. И только если клиент отвечает на SYN/ACK, маршрутизатор передает исходный SYN серверу, после чего восстанавливаются полу- сформированные последовательности пакетов «маршрутизатор-клиент» и «маршрутизатор-сервер». В случае, когда Cisco-устройство не получает подтверждения от клиента, соединение разрывается. Режим перехвата может быть сконфигурирован и в менее агрессивном виде, при котором маршрутизатор следит за процессом установки соединения с сервером, передает серверу клиентские пакеты и разрывает соединение, только если превышено время ожидания конечного АСК-пакета. Следует отметить, что пакеты могут перехватываться исходя из заданных адресов отправителя и получателя. Приведем пример простой инструкции, включающей опцию TCP Intercept. Для получения расширенной информации обратитесь к ресурсам сайта SYN и другие устройства Многие периметральные устройства имеют встроенные механизмы предупреждения SYN-атак. Среди прочих можно выделить систему Fire Wall-1 SYNDefender компании Check Point Software. SYNDefender предоставляет два способа защиты от SYN-переполнения: SYNDefender Relay и SYNDefender Gateway. Подобно Cisco TCP Intercept, SYNDefender Relay выступает в роли посредника между клиентом и сервером. Информация об установленном соединении передается защищаемому серверу только после получения клиентского АСК-пакета. В отличие от остальных решений, система SYNDefender Gateway позволяет SYN-пакетам беспрепятственно проходить сквозь межсетевой экран. Но, когда сервер отвечает соответствующим SYN/ACK-пакетом, SYNDefender Gateway мгновенно посылает серверу АСК-пакет, завершающий процесс соединения. Таким образом искусственно освобождается очередь соединений.