- بواسطة x32x01 ||
معظم خدمات الإنترنت اللي بنستخدمها يوميًا زي HTTPS (443) و SSH شغالة على بروتوكول TCP 🖥️
قبل أي نقل بيانات، TCP بيعمل خطوة تأسيسية اسمها TCP 3-Way Handshake.
الخطوة دي بسيطة في الشكل… بس خطيرة جدًا لو اتستغلت غلط ⚠️
وبيتم على 3 خطوات أساسية:
المستخدمين الحقيقيين مش هيعرفوا يعملوا اتصال جديد 😬
من غير ما يتم إرسال ACK النهائي
النتيجة 👇
1️⃣ ارتفاع غير طبيعي في عدد رسائل SYN
2️⃣ عدد ACK قليل جدًا مقارنة بالـ SYN
3️⃣ زيادة الاتصالات بحالة SYN_RECV على السيرفر
مثال لملاحظة الحالة على Linux:
قبل أي نقل بيانات، TCP بيعمل خطوة تأسيسية اسمها TCP 3-Way Handshake.
الخطوة دي بسيطة في الشكل… بس خطيرة جدًا لو اتستغلت غلط ⚠️
إيه هو TCP 3-Way Handshake؟ 🤔
هو اتفاق سريع بين العميل (Client) و السيرفر (Server) عشان يبدأ اتصال موثوق 🔐وبيتم على 3 خطوات أساسية:
- SYN ➜ العميل بيقول: عايز أفتح اتصال
- SYN-ACK ➜ السيرفر يرد: تمام، مستعد
- ACK ➜ العميل يؤكد، والاتصال يبقى ESTABLISHED
فين نقطة الضعف في TCP؟ 🪲
المشكلة بتبدأ أول ما السيرفر يستقبل رسالة SYN كتير من السيرفرات بتعمل:- اتصال Half-Open
- تحطه في قائمة انتظار اسمها Backlog
- تستنى رسالة ACK الأخيرة
المستخدمين الحقيقيين مش هيعرفوا يعملوا اتصال جديد 😬
هجوم SYN Flood: إسقاط الخدمة من أول خطوة 💥
هجوم SYN Flood بيعتمد على فكرة بسيطة وخبيثة: إرسال عدد ضخم جدًا من SYNمن غير ما يتم إرسال ACK النهائي
النتيجة 👇
- تكدس اتصالات Half-Open
- امتلاء Backlog
- فشل الاتصالات الشرعية
- بطء شديد أو توقف الخدمة بالكامل 🚫
مؤشرات سريعة لاكتشاف الهجوم (SOC / Blue Team) 👀
فرق الـ SOC أو الـ Blue Team تقدر تلاحظ:1️⃣ ارتفاع غير طبيعي في عدد رسائل SYN
2️⃣ عدد ACK قليل جدًا مقارنة بالـ SYN
3️⃣ زيادة الاتصالات بحالة SYN_RECV على السيرفر
مثال لملاحظة الحالة على Linux:
netstat -ant | grep SYN_RECV | wc -lإزاي نقلل تأثير هجوم SYN Flood؟ 🛡️
فيه دفاعات بسيطة لكنها فعالة جدًا 👌تفعيل SYN Cookies 🍪
- السيرفر ما يحتفظش بالاتصال
- يستنى العميل يثبت جديته الأول
Rate Limiting 🚦
- تحديد عدد الاتصالات في الثانية
- يتطبق من الـ Firewall أو Load Balancer
حلول DDoS Protection ☁️
- مهمة جدًا للخدمات العامة
- بتتعامل مع الهجوم قبل ما يوصل للسيرفر
الخلاصة 📌
فهم TCP 3-Way Handshake مش درس شبكات وخلاص ❌ ده مفتاح مهم لفهم:- إزاي خدمة ممكن تقع من أول خطوة
- إزاي هجوم بسيط زي SYN Flood يوقف سيستم كامل
- وإزاي تحمي نفسك بمراقبة SYN وتفعيل دفاعات ذكية 🔐