Was ist eine SYN-Flut?

Eine SYN-Flut, auch bekannt als TCP-SYN-Flut, ist eine Art von Denial-of-Service (DoS)- oder Distributed-Denial-of-Service (DDoS)-Angriff, bei dem eine massive Anzahl von SYN-Anfragen an einen Server gesendet wird, um diesen durch offene Verbindungen zu überlasten.

Eine SYN-Flut, manchmal auch als halboffener Angriff bezeichnet, ist ein Angriff auf der Netzwerkebene, bei dem ein Server mit Verbindungsanforderungen bombardiert wird, ohne auf die entsprechenden Bestätigungen zu antworten. Die daraus resultierende große Anzahl offener TCP-Verbindungen verbraucht die Ressourcen des Servers, sodass legitimer Datenverkehr im Wesentlichen verdrängt wird. Dadurch ist es unmöglich, neue legitime Verbindungen herzustellen, und der Server ist für autorisierte Benutzer, die bereits verbunden sind, nur schwer oder gar nicht mehr erreichbar.

Praktisch jede Organisation mit einer öffentlich zugänglichen Website ist für diese Art von Angriffen anfällig. Wenn eine SYN-Flut nicht schnell erkannt und abgewehrt wird, kann sie einen Server schnell überlasten, die Serverreaktionen dramatisch verlangsamen und alle anderen Verbindungen verhindern. Dadurch wird der Server effektiv vom Netz genommen, sodass legitimen Benutzern der Dienst verweigert wird, wodurch der Zugriff auf Anwendungen und Daten verloren geht oder E-Commerce verhindert wird. Die Folgen können ein Verlust der Geschäftskontinuität, eine Unterbrechung der kritischen Infrastruktur, Umsatzverluste oder eine Rufschädigung sein. Für einige Organisationen, beispielweise im Gesundheitswesen, kann der Schaden eines verlorenen Datenzugriffs lebensbedrohlich sein.

Die Forschungsarbeiten von F5 Labs deuten darauf hin, dass SYN-Fluten jedes Jahr eine der häufigsten Arten von volumetrischen DoS-Angriffen darstellen. Sie können in Kombination mit oder als Deckmantel für andere Arten von Angriffen verwendet werden, einschließlich Ransomware-Angriffen oder Bemühungen, Daten zu stehlen oder Malware einzuschleusen.

Jede Client-Server-Kommunikation beginnt mit einem standardmäßigen Drei-Wege-Handshake. Der Client sendet ein SYN-Paket, der Server antwortet mit einem SYN-ACK, und die TCP-Verbindung wird aufgebaut. Bei einer SYN-Flut sendet der Client eine überwältigende Anzahl an SYN-Anfragen und antwortet bewusst nie auf die SYN-ACK-Nachrichten des Servers.

Dadurch bleiben die Serververbindungen offen und der Server wartet auf weitere Kommunikation vom Client. Jede Verbindung wird in der TCP-Verbindungstabelle des Servers nachverfolgt, wodurch die Tabelle schließlich gefüllt wird und alle weiteren Verbindungsversuche aus sämtlichen Quellen blockiert werden. Dies führt zu einem Verlust der Geschäftskontinuität und des Datenzugriffs.

SYN-Fluten werden häufig von Bots durchgeführt, die sich von gefälschten IP-Adressen aus verbinden, um die Identifizierung und Abwehr des Angriffs zu erschweren. Botnetze können SYN-Fluten als Distributed-Denial-of-Service (DDoS)-Angriffe starten.

Die F5-DDoS-Schutzlösungen sorgen dafür, dass Angriffe auf das Netzwerk Ihre Server- und Anwendungsebenen nicht verlangsamen oder, schlimmer noch, abschalten, sodass Ihre Kunden nicht abgewiesen werden. Unsere Lösungen können erkennen, wann eine SYN-Flut stattfindet, und Abwehrmaßnahmen ergreifen, um die Verbindungstabelle zu schützen und gleichzeitig legitimen Verbindungen den Zugriff auf das geschützte Netzwerk zu ermöglichen. Bei dieser Art der Verteidigung werden die SYN-Anfragen des Angreifers beantwortet, sodass der Angreifer denkt, dass der Angriff funktioniert. Die Verbindungstabelle überschreitet jedoch nie ihre Kapazität, da nur gültige Verbindungsanfragen einen Platz in der Verbindungstabelle erhalten.