Metody / L4 / SYN
L4 · NetworkVolumetricTCPSpoofableState Exhaustion
SYN test obciążeniowy
Zalewa cel pakietami TCP SYN, które otwierają półpołączenia nigdy nie kończone, weryfikując, jak Twój stos i ochrona przetrwają wyczerpanie tablicy połączeń.
Jak to działa
Każdy pakiet SYN prosi serwer o przydzielenie półotwartego połączenia i czeka na uzgadnianie, które nigdy nie nadchodzi, więc dostatecznie wysokie tempo SYN zapełnia kolejkę zaległości i zagładza prawidłowych klientów slotów. To klasyczny prymityw wolumetryczny warstwy 4, który obciąża tablicę stanu połączeń, a nie samą przepustowość. Weryfikuje, czy ciasteczka SYN, proxowanie SYN na brzegu sieci i strojenie kolejki zaległości utrzymują usługę odpowiadającą pod powodzią półotwartych żądań.
Parametry
pps600k ppsTempo pakietów SYN napędzane na port docelowy
sourceswide source spreadRozkłada SYN-y na wiele adresów źródłowych według regionu
dst portany listening portCeluje w pojedynczą otwartą usługę TCP
duration10-600 sDługość okna testu
Uruchom z CLI
retro-cli
$ retro run syn --target 203.0.113.45 --port 443 --duration 120
FAQ SYN
Co tak naprawdę wyczerpuje powódź SYN?+
Celuje w tablicę stanu połączeń, nie tylko w przepustowość. Każdy SYN rezerwuje półotwarty slot do czasu wygaśnięcia uzgadniania, które nigdy nie nadchodzi, więc trwałe tempo zapełnia kolejkę zaległości i blokuje nowe prawidłowe połączenia.
Czy ciasteczka SYN całkowicie zatrzymują powódź SYN?+
Ciasteczka SYN usuwają problem przydzielania stanu, odkładając użycie kolejki zaległości do zakończenia uzgadniania, ale wystarczająco duża powódź nadal może wysycić łącze lub CPU. Ta metoda pokazuje, gdzie leży ten pułap na Twoim własnym stosie.
Czym to się różni od SYN-OPT?+
Goły SYN używa minimalnych pakietów, które naiwne filtry mogą oznaczyć po samym kształcie. SYN-OPT dodaje realistyczne opcje TCP, takie jak MSS i SACK, więc pakiety wyglądają jak prawdziwi klienci, testując zamiast tego mitygację świadomą opcji.