¿Qué es un ataque de inundación de SYN?
Una inundación de SYN, también conocida como inundación de TCP SYN, es un tipo de ataque de denegación de servicio (DoS) o denegación de servicio distribuido (DDoS) que envía un número masivo de solicitudes SYN a un servidor para sobrepasar su capacidad con conexiones abiertas.
Una inundación de SYN, a veces conocida como un ataque medio abierto, es un ataque a nivel de red que bombardea un servidor con solicitudes de conexión sin responder a los correspondientes acuses de recibo. El gran número de conexiones TCP abiertas resultante consume los recursos del servidor para básicamente desplazar el tráfico legítimo, lo que hace imposible abrir nuevas conexiones legítimas y dificulta o imposibilita el funcionamiento correcto del servidor para los usuarios autorizados que ya están conectados.
Prácticamente cualquier organización con un sitio web de cara al público es vulnerable a este tipo de ataque. Si una inundación de SYN no se detecta y trata enseguida, puede abrumar rápidamente a un servidor y hacer que se retrasen notablemente las respuestas del servidor y se impidan el resto de conexiones. Por tanto, el servidor estará fuera de línea y a los usuarios legítimos se les negará el servicio, con la consecuente pérdida de acceso a las aplicaciones y los datos, o la incapacidad de realizar el comercio electrónico correspondiente. Los resultados pueden incluir la discontinuidad de la actividad para el negocio, la interrupción de la infraestructura crítica, la pérdida de ventas y el daño a la reputación. Para algunas organizaciones, como las del sector sanitario, la incapacidad de acceder a los datos puede tener consecuencias mortales.
La investigación de F5 Labs sugiere que las inundaciones de SYN son uno de los tipos más comunes de ataques volumétricos de DoS cada año. Se pueden poner en práctica junto con otros tipos de ataques o como distracción para que estos últimos tengan éxito, incluyendo ataques de rescate o intentos de robo de datos o implantación de malware.
Toda conversación cliente-servidor comienza con un saludo regulado de tres partes. El cliente envía un paquete SYN, el servidor responde con un SYN-ACK, y se establece la conexión TCP. En un ataque de inundación de SYN, el cliente envía una cantidad masiva de solicitudes SYN y nunca responde a los mensajes SYN-ACK del servidor.
Esto hace que el servidor se quede conexiones abiertas esperando comunicación por parte del cliente. Cada una de estas conexiones se rastrea en la tabla de conexiones TCP del servidor y, finalmente, la tabla se llena y se bloquea todo intento posterior de conexión de cualquier fuente. El resultado es la discontinuidad del negocio y del acceso a los datos.
Las inundaciones de SYN con frecuencia son perpetradas por robots que se conectan desde direcciones IP falsas para que el ataque resulte más difícil de identificar y mitigar. Las botnets pueden lanzar inundaciones de SYN como ataques de denegación de servicio distribuido (DDoS).
Las soluciones de protección de DDoS de F5 ayudan a asegurar que los ataques contra la red no paralizarán (o peor aún, desactivarán) los niveles de sus servidores y aplicaciones, rechazando a sus clientes. Nuestras soluciones detectan cuándo se está produciendo un ataque de inundación de SYN y toman medidas defensivas de mitigación para proteger la tabla de conexiones mientras permiten el acceso de las conexiones legítimas a la red protegida. Con este tipo de defensa, las solicitudes de SYN del atacante obtienen respuestas, por lo que piensa que el ataque está funcionando, pero la tabla de conexiones nunca llega a su capacidad máxima porque únicamente las solicitudes de conexión válidas conservan su sitio en la tabla de conexiones.
