ทำความรู้จักกับการโจมตีแบบ SYN Flooding (ซิง ฟรัดดิ่ง)

           การโจมตีแบบ SYN Flooding เป็นการโจมตีโดยการส่งแพ็คเก็ต TCP (ทีซีพี) ที่ตั้งค่า SYN บิตไว้ไปยังเป้าหมาย เสมือนกับการเริ่มต้นร้องขอการติดต่อแบบ TCP ตามปกติ เครื่องที่เป็นเป้าหมายก็จะตอบสนองโดยการส่ง SYN-ACK (ซิน-แอค) กลับมายัง source IP address (ซอสต์ ไอพี แอดเดรส) ที่ระบุไว้ ซึ่งผู้โจมตีจะควบคุมเครื่องที่ถูกระบุใน source IP address ไม่ให้ส่งข้อมูลตอบกลับ ทำให้เกิดสภาวะ half-open (ฮาฟ-โอเพ้น) ขึ้นที่เครื่องเป้าหมาย หากมีการส่ง SYN flood จำนวนมาก ก็จะทำให้คิวของการให้บริการของเครื่องเป้าหมายเต็ม ทำให้ไม่สามารถให้บริการตามปกติได้

สำหรับแนวทางในการป้องกันการโจมตีในลักษณะ SYN Flood มีดังนี้

1. Cisco Router (ซิสโก้ เราเตอร์) เป็นเราเตอร์ของ Cisco มีฟังก์ชันการทำงานชื่อ TCP Intercept (พีซีพี เอ็นเตอร์เซ็ปต์) ซึ่งถูกออกแบบมาเพื่อต่อต้านการโจมตีแบบ SYN flood โดย TCP intercept software จะพยายามสร้างการเชื่อมต่อกับ client (ไคลแอนต์) หากสำเร็จการเชื่อมต่อดังกล่าวก็จะถูกส่งไปให้กับเครื่องให้บริการต่อไป ดังนั้นการโจมตีแบบ SYN flood จะไม่สามารถเข้าไปถึงเครื่องเป้าหมายจริงๆ ได้ และเราเตอร์ก็ถูกออกแบบให้รองรับการเชื่อมต่อได้มากกว่าเครื่องให้บริการ (server (เซิร์ฟเวอร์)) อีกด้วย ทั้งนี้เราเตอร์นี้จะมีข้อเสียคือจะทำให้เราเตอร์ใช้ทรัพยากรมากกว่าปกติ
2. Checkpoint Firewall-1 (เช็คพ้อย ไฟล์วอล-1) โดย Firewall-1 จะมีฟังก์ชั่นชื่อ SYN Defender (ซิน ดีเฟนเดอร์) ซึ่งถูกออกแบบมาเพื่อต่อต้านการโจมตีแบบ SYN flood โดยใช้หลักการเช่นเดียวกันกับ Cisco’s TCP Intercept ซึ่งจะทำให้ SYN packet (ซิน แพคเกจ) ถูกหยุดยั้งไว้ที่ Firewall-1 เช่นเดียวกันกับ Cisco’s TCP Intercept 

Reference: "SYN flood". "SYN flood" [ออนไลน์]. เข้าถึงได้จาก en.wikipedia.org/wiki/SYN_flood
Reference: "SYN flood Attack". "SYN flood Attack" [ออนไลน์]. เข้าถึงได้จาก kb.psu.ac.th/psukb/bitstream/2553/2128/9/271644_ch2.pdf
ภาพประกอบบทความ: en.wikipedia.org/wiki/File:Tcp_synflood.png