0142 | DDoS : TCP FIN Flood

Friday, December 28th, 2012 Posted in IP Network | No Comments »

อ่า มาต่ออันที่ 3 กันครับ ใครเห็นชื่อแปลกๆ นี่ไม่ได้พิมพ์ผิดนะครับ มันคือ FIN Flood จริงๆ

โดยก่อนอื่นต้องว่ากันด้วยการเชื่อมต่อ connection ของ TCP ก่อนครับ เนื่องจากเจ้า TCP เนี่ย เป็น protocol ที่เป็น stateful connection คือต้องมีการรับ และตอบกลับก่อนเพื่อที่จะสร้างการเชื่อมต่อกันได้สมบูรณ์ ซึ่งจะกำกับด้วย TCP Flag ที่มีทั้งหมด 9 ตัว แต่มีตัวที่ใช้หลักๆ ประมาณนี้ครับ

  • ACK Acknowledge เป็น Flag ที่ถูกแปะบ่อยที่สุด เพราะมันแปะที่ SYN ไม่ได้ที่เดียว นอกนั้นแปะไว้ได้หมดเลย
  • PSH Push data บอกว่ามีการส่งข้อมูลแนบไปกับ flag อื่น(ที่ไม่ใช่ SYN) ด้วย
  • RST Reset เป็นการสั่งตัด connection แบบไม่สนสถานะ คือถ้าเจอไอ้นี่ปุ๊ปจะขึ้น connection has been reset เลยครับ เกิดจากพวกระบบ block หรือโปรแกรมที่ทำงานบน connection นั้นดับไปแบบ error ครับ
  • SYN สถานะเริ่มเชื่อมต่อ ไอ้นี่จะโผล่มาแค่สองครั้ง (2 packet แรก) เท่านั้น
  • FIN ร้องขอจบการเชื่อมต่อ

โดยมีขั้นตอนการทำงาน (state) เป็นแผนภาพแบบง่ายๆ (สาบานว่าง่ายแล้ว) ดังนี้ครับ


ภาพประกอบจาก Wikipedia : TCP

Read the rest of this entry »

Tags: , ,