Большинство программ межсетевых защит используют таблицы состояния, чтобы определить, принадлежит ли данный пакет существующему сеансу между двумя хостами на противоположных сторонах межсетевой защиты. Если новые записи добавляются в таблицу состояния быстрее, чем межсетевая защита удаляет их, таблица, в конечном итоге, заполнится до отказа. Когда это произойдет, большинство межсетевых защит откажутся принимать входящие пакеты, которые не соответствуют существующим сеансам.
Большинство программ межсетевых защит используют таблицы состояния, чтобы определить, принадлежит ли данный пакет существующему сеансу между двумя хостами на противоположных сторонах межсетевой защиты. Когда межсетевая защита встречает пакет, который соответствуют набору правил, но не соответствуют определенному состоянию, добавляется запись в таблицу состояния, чтобы проследить новый сеанс. Межсетевая защита может удалить записи из таблицы состояния по нескольким причинам, включая истечение значения времени ожидания или при обнаружении сорванных пакетов (типа TCP FIN или TCP RST).
Если новые записи добавляются в таблицу состояния быстрее, чем межсетевая защита удаляет их, таблица, в конечном итоге, заполнится до отказа. Когда это произойдет, большинство межсетевых защит откажутся принимать входящие пакеты, которые не соответствуют существующим сеансам. В этом случае, никакие новые подключения не могут быть установлены через межсетевую защиту, что приводит к отказу в обслуживании. Важно обратить внимание, что в некоторых случаях нападающий может заполнить таблицу состояния сеанса относительно маленьким трафиком, значительно меньше, чем возможности пропускной способности сетевого интерфейса межсетевой защиты.
Существуют несколько методов, которые нападающие могут использоваться, чтобы эксплуатировать уязвимость.
В отличие от межсетевой защиты, хост адресата должен проверить все контрольные суммы, чтобы не принимать разрушенные пакеты. В соответствии с сетевым соглашением, большинство хостов, которые получают недопустимые пакеты от C2 Flood, просто откажутся от них, предполагая, что ответ заставит исходный хост повторно передать данные. Это представляет проблему для межсетевой защиты, так как при этих условиях хост назначения не дает ответа, который файрвол может использовать для настройки своей таблицы состояния.
Многие межсетевые зашиты содержат систему блокирования UDP и TCP SYN нападений. Рекомендуется всегда включать такую защиту.
Таблицы состояния, которые используют распределенную память, могут увеличить свой размер, чтобы разместить большее число состояний. Важно обратить внимание, что размер динамической таблицы состояний будет все еще ограничиваться доступной памятью межсетевой защиты.
Поддержание отдельных таймеров сеанса для начальных и установленных сеансов, позволяет быстро удалять записи в таблице состояний, сгенерированные атакующим трафиком. Так как большинство нападений использует подделанный IP адреса источника, от которого не ожидается ответа, трафик нападения, вряд ли, создаст записи в таблице состояний, относящиеся к установленным сеансам.
Поскольку значение тайм-аута уменьшается, атакующий должен увеличить поток трафика, чтобы новые записи создавались быстрее, чем межсетевая защита будет их удалять. Используя динамические таймеры сеанса, которые уменьшаются в ответ на перегрузку таблицы состояния, межсетевая защита может увеличить скорость истечения сеанса, делая эту уязвимость более трудной для эксплуатации.
Возможность отключить слежение за состоянием подключения для некоторых протоколов обеспечит администраторов гибкостью в защите против нападений, описанных выше.
Лечим цифровую неграмотность без побочных эффектов