System and method for enhancing a server's ability to withstand a "SYN flood" denial of service attack

A system and methods of enhancing a server's ability to withstand a SYN flood type denial of service attack are presented. Modifications to the TCP/IP layer of a server reduce the amount of system resources that are allocated, and the amount of CPU overhead that is required to process a connection request until the TCP/IP three-way handshake is completed to verify the presence of a legitimate client. Specifically, the TCP/IP layer allocates a small TCP control block (TCB) of a size sufficient only to service the connect request upon receipt of the SYN packet. A full TCB is not allocated until the connection is completed. Further, the TCP/IP layer delays notification to the socket layer of the receipt of the SYN packet until after the connection is completed. Finally, the route information of the connection is not cached until after the connection is completed. These methods, individually, or in combination, significantly enhance a server's ability to withstand a SYN flood attack.

Ένα σύστημα και οι μέθοδοι τη δυνατότητα ενός κεντρικού υπολογιστή να αντισταθεί μια άρνηση τύπων πλημμυρών SYN της επίθεσης υπηρεσιών παρουσιάζονται. Οι τροποποιήσεις στο στρώμα TCP/$L*IP ενός κεντρικού υπολογιστή μειώνουν το ποσό πόρων συστημάτων που διατίθενται, και το ποσό της ΚΜΕ υπερυψωμένο που απαιτείται για να επεξεργαστεί ένα αίτημα σύνδεσης έως ότου ολοκληρώνεται η τριπλή χειραψία TCP/$L*IP για να ελέγξει την παρουσία ενός νόμιμου πελάτη. Συγκεκριμένα, το TCP/to στρώμα IP διαθέτει έναν μικρό φραγμό ελέγχου TCP (tcb) ενός μεγέθους για να συντηρήσει επαρκώς συνδέει το αίτημα επάνω στην παραλαβή του πακέτου SYN. Πλήρες tcb δεν διατίθεται έως ότου ολοκληρώνεται η σύνδεση. Περαιτέρω, το TCP/i ανακοίνωση καθυστερήσεων στρώματος IP στο στρώμα υποδοχών της παραλαβής του πακέτου SYN μέχρι τη σύνδεση ολοκληρώνεται. Τέλος, οι πληροφορίες διαδρομών της σύνδεσης δεν εναποθηκεύονται μέχρι ολοκληρώνεται η σύνδεση. Αυτές οι μέθοδοι, χωριστά, ή σε συνδυασμό, ενισχύουν σημαντικά τη δυνατότητα ενός κεντρικού υπολογιστή να αντισταθεί μια επίθεση πλημμυρών SYN.