TCP通信を行う上でSYN,SYN/ACK,SYNでコネクションを確立する方式でしたね。
懐かしい。
TCPヘッダーの一部
これは覚えるしかない。
- SYN→確認応答番号(ACK番号)なし。
- SYN/ACK→SYNがACK番号※ここでプライス1されて置き換わって、新たなSYN番号を付して返答
- ACK→最初のSYNと照合してプラス1で返ってきていたらOK、そして受信サイドで設定されたシーケンス番号がACK番号として置き換わりプラス1されて、受信サイドで照合、整合性を確認してOK
トラフィックを見ているとSYN/ACKだけの場合があります。これは送信元IPに向けてSYN/ACKだけ送信して負荷をかける攻撃手法です。SYN-ACKリフレクション攻撃。
通常SYNからSYN/ACKの流れですが、SYN無しにSYN/ACKを送信するのです。コネクションを張るためTCPの通常動作なので、防ぐのも大変そうです。踏み台にされる想定で対策をすることも可能なようです。
コメント