F5-Glossar

SYN

Was ist SYN?

In TCP bezieht sich SYN auf das Paket, das von einem Client an einen Server gesendet wird, um eine Verbindung herzustellen. Das Herstellen einer TCP-Verbindung erfolgt in folgenden Schritten:

  1. Der Client sendet zunächst ein SYN-Paket an den Server.
  2. Der Server antwortet mit einem SYN/ACK-Paket und bestätigt die Anfrage. An diesem Punkt reserviert der Server Ressourcen in einer Verbindungstabelle, um Verbindungsdetails zu speichern und einen halboffenen Verbindungsstatus herzustellen.
  3. Nach Erhalt des SYN/ACK-Pakets antwortet der Client mit einem ACK-Paket.
  4. Wenn der Server das ACK-Paket empfängt, ist die Verbindung vollständig hergestellt.

Dieser Verbindungsvorgang, der drei Paketaustausche umfasst, wird als 3-Wege-Handshake bezeichnet. Dadurch kann der Server bestätigen, dass seine Antwortpakete den Client erreicht haben. Es treten jedoch Probleme auf, wenn der Client die Quell-IP-Adresse fälscht, da der Server keine Antwort auf sein SYN/ACK-Paket erhält. In solchen Fällen behält der Server den halboffenen Zustand bei, bis eine Zeitüberschreitung eintritt, und verbraucht dadurch unnötig Ressourcen. Böswillige Akteure nutzen diese Sicherheitslücke bei einem SYN-Flood-Angriff aus, einer Art DoS-/DDoS-Angriff.

Die BIG-IP-Plattform von F5 fungiert als vollständiger Proxy und verhindert SYN-Floods, indem sie SYN-Pakete prüft, bevor sie an den Server weitergeleitet werden. Darüber hinaus enthält BIG-IP eine Funktion namens SYN-Cookies, um sich vor großen Mengen von SYN-Paketen zu schützen. Bei dieser Methode wird eine MD5-generierte Nummer (ein sogenanntes „Cookie“) in die TCP-Sequenznummer des SYN/ACK-Pakets eingebettet. Wenn das nachfolgende ACK-Paket empfangen wird, wird das Cookie anhand seines Inhalts neu berechnet. Dadurch entfällt die Notwendigkeit, Verbindungsdetails zum Zeitpunkt des Sendens des SYN/ACK-Pakets zu speichern, wodurch eine Speichererschöpfung auch während eines SYN-Flood-Angriffs verhindert wird.