Beim Verbinden mit einem Server kann der Client durch Setzen des ACK-Flags eine Bestätigung anfordern, dass die Informationen empfangen wurden, oder er kann den Server durch Setzen des PUSH-Flags zwingen, die Informationen im Paket zu verarbeiten. Beide Anfragen erfordern vom Server mehr Arbeit als bei anderen Anfragetypen.

Indem ein Angreifer einen Server mit unberechtigten PUSH- und ACK-Anfragen überflutet, kann er verhindern, dass der Server auf gültigen Datenverkehr reagiert. Diese Technik wird als PUSH- oder ACK-Flood bezeichnet.

Da PUSH- und ACK-Nachrichten Teil des normalen Datenverkehrs sind, deutet allein eine große Flut dieser Nachrichten auf Missbrauch hin. Durch die Verwendung einer Vollproxyarchitektur zur Verwaltung jeder Konversation zwischen Client und Server kann Missbrauch schnell ausgemerzt werden.

Sowohl F5 BIG-IP Local Traffic Manager (LTM) als auch BIG-IP Advanced Firewall Manager (AFM) basieren auf Vollproxy-Architekturen, sodass sie gültigen Datenverkehr ermitteln und PUSH- und ACK-Datenverkehrfluten löschen können, sodass diese nie in das geschützte Netzwerk gelangen.

 

Verwandte Inhalte