Соединение TCP - это один из самых простых и доступных способов "уронить" сервер по сети 😊. Для этого нужно просто создавать много полуоткрытых TCP соединений с сервером, пока у него не закончатся ресурсы.

Напомню, что установка соединения в TCP выполняется за три шага с помощью процедуры трехкратного рукопожатия. На первом шаге отправитель передает сегмент с установленным флагом SYN. Получатель выделяет ресурсы для обслуживания соединения, отправляет ответ с установленными флагами SYN и ACK, после чего ждет подтверждения от отправителя.

Но злонамеренный отправитель не передает третий сегмент с подтверждением, и соединение остается в полуоткрытом состоянии. Вместо этого злонамеренный отправитель передает несколько новых запросов на соединение, которые также не подтверждает.

Каждое полуоткрытое соединение занимает небольшое количество ресурсов сервера. Но когда таких полуоткрытых соединений становится много, то суммарно они требуют значительный объем ресурсов, в первую очередь памяти. Когда ресурсы закончатся, сервер перестанет отвечать на соединения.

Такая атака называется SYN flood, "затопление" сегментами с запросом на установку TCP соединения SYN. В целом тип атак называется "отказ в обслуживании" (denial-of-service) - на сервер поступает большое количество запросов для обработки которых у него не хватает ресурсов.

Но современные серверы достаточно мощные и их не так легко перегрузить. Поэтому придумали распределенную атаку отказа в обслуживании, distributed denial-of-service, сокращенно DDoS. В этом случае запросы на соединение TCP отправляются с большого количества распределенных по сети устройств. Если таких устройству будет много и они будут отправлять запросы быстро, то перегрузят любой сервер 😟

Вы сталкивались с атакой отказа в обслуживании? Если да, то пишите в комментариях, как защищались.