- - PR -
SYN Flood Atackへの対策について
1
投稿者 | 投稿内容 |
---|---|
|
投稿日時: 2003-05-16 11:58
こんにちは。
いつもこちらで勉強させていただいております。ありがとうございます。 今回、SYN Flood Atackへの対策について質問させていただきます。 SYN Flood Atackに対する端末側での対策として、以下のものがあるようです。 1.3way handshake時のタイムアウト間隔を短くする 2.ハーフオープンのコネクションに割り当てるメモリを減らす 3.コネクション要求を受け付けるキューを大きくする 1と2については理解できます。 しかし、3が何故「対策」になるのか、恥ずかしながら全くわかりません。。。 なぜなら、キューを大きくしたところでそのキューを上回る攻撃を受けたら 大きくしないのと何も変わらないのではないか、と思うからです。 また、2と3とは矛盾の関係なのではないか、とも思っております。 これについてご解説いただきたく思います。 何卒よろしくお願い致します。 |
|
投稿日時: 2003-05-21 22:59
むーさん、始めまして。こちらには初参加のj-zamraiと申します。
お役に立てるか判りませんが、むーさんの疑問に対して、私なりの解釈をしてみたいと思います。(失礼や誤りがあれば、ご指摘ください。) 以下の様なポイントをふまえてみます。 1."Syn Flood Attack" とは、数多く存在するDOS(DDOS)攻撃手法の1つにすぎない。 また、完璧な対処法は存在しない。 2.「ハーフコネクションへの割り当てメモリ」は”コネクションあたりのプロセスの大きさ”と言う要素であり、「コネクション受付キューの大きさ」は”受付可能なプロセスの数”といった要素である。 上記の2.については、ハナシを”いつも混んでいるラーメン屋”にたとえると、 ・「ハーフコネクションへのメモリ割り当て」は、メニューの種類や調理手順の複雑さ具合など、一仕事にかかる手間隙の度合い(ハーフコネクションに利用するデータ構造体単位の大きさ)で、割り当てメモリを減らすことは、「餃子」や「野菜炒め」をやめて、ラーメン一本で勝負したり、仕込みを工夫して一手間を省き、回転率を上げる効果があるとおもいます。(ちょっと強引か…。) ・「コネクション受付キュー」は、「用意する席数」や「注文だけ取れるオバチャンの採用」など、とりあえず店の外に人をあふれさせず、注文だけは受けられる間口を増やす効果をうむはずです。(あいかわらず注文してからラーメンが出てくるまでの待ち時間は長いままかもしれませんが、少なくとも”DOS(サービス不能)”の事態だけはさけるということでしょか。) かえって訳がわからなくなってしまったかもしれませんが、DOS(DDOS)の攻撃の最終目的は”システム・ダウン”や”接続不能”など、”忙しさで厨房のオヤジを倒れさせ閉店させること”ですから、このような対策を行い、攻撃を受けた場合でも、”反応は遅いけど落ちることは無い、打たれ強いサーバー”にしておくことが現実的なのだと思います。 Syn Flood Attackを含め、一口にDOS(DDOS)攻撃と言っても、さまざまな攻撃パターンがあり、「これで完璧」という特効薬は存在しないと思います。 むーさんがおっしゃるように、どこかが溢れてしまえば終わりですからね。 現状では、ネットワークの仕組みをよく理解した上で、効果的な”対処療法”行うしかないのだと思います。 お粗末でした。 |
1