Атака поддельными TCP сессиями (Fake Session Attack)

Алгоритм атак этого типа сводится к эмуляции TCP-сессий на сетях с асимметричной маршрутизацией следующим образом: злоумышленник генерирует поддельные SYN-пакеты, затем много ACK, а затем FIN/RST пакеты. Все эти пакеты вместе похожи на трафик реальной TCP-сессии, отправляемый одним из хостов другому. Учитывая, что на сегодняшний день в большинстве сетей реализована асимметричная маршрутизация трафика (при которой входящие и исходящие пакеты направляются по разным маршрутам), а современные инструменты защиты сетей разработаны для анализа однонаправленного трафика (не рассчитаны на анализ в том числе и обратного трафика), для применения атак этого вида складываются идеальные условия. Таким образом, симулируя полноценное TCP взаимодействие и обходя инструменты защиты, которые анализируют лишь входящий трафик, злоумышленник может добиться исчерпания системных ресурсов и недоступности сервера-жертвы. Существует 2 разновидности таких атак: в первом случае отправляется несколько фальсифицированных SYN пакетов, затем несколько ACK, затем однин или более FIN/RST пакетов; во втором случае пропускаются SYN пакеты, и атака начинается с отправки нескольких ACK, за которыми следует одним или более FIN/RST пакетов. Относительно небольшая скорость отправки поддельных пакетов делает атаку этого типа более сложной для обнаружения по сравнению с обычным флудом, но достигает аналогичного результата: исчерпание системных ресурсов сервера-жертвы. Способом предупреждения данной атаки является настройка системы защиты на анализ входящего и исходящего трафика одновременно.