Qu’est-ce qu’une attaque par inondation SYN ?
Une inondation SYN, également connue sous le nom d’inondation TCP SYN, est un type d’attaque par déni de service (DoS) ou déni de service distribué (DDoS) qui envoie un nombre massif de requêtes SYN à un serveur pour le submerger de connexions ouvertes.
Une inondation SYN, parfois appelée attaque de semi-ouverture, est une attaque au niveau du réseau qui bombarde un serveur de demandes de connexion, sans répondre aux accusés de réception correspondants. Le grand nombre de connexions TCP ouvertes qui en résulte consomme les ressources du serveur pour essentiellement noyer le trafic légitime, rendant impossible l’ouverture de nouvelles connexions légitimes et difficile ou impossible le fonctionnement correct du serveur pour les utilisateurs autorisés qui sont déjà connectés.
Pratiquement toute organisation disposant d’un site Web public est vulnérable à ce type d’attaque. Si une inondation SYN n’est pas rapidement détectée et traitée, elle peut rapidement submerger un serveur pour ralentir considérablement les réponses du serveur et empêcher toute autre connexion. Cela a pour effet de mettre le serveur hors ligne, de sorte que les utilisateurs légitimes se voient refuser le service, perdant ainsi l’accès aux applications et aux données ou empêchant le commerce électronique. Il peut en résulter une perte de continuité des activités, une perturbation de l’infrastructure critique, une perte de ventes ou une atteinte à la réputation. Pour certaines organisations, comme celles du secteur médical, les dommages causés par la perte de l’accès aux données peuvent poser un risque vital.
Les recherches de F5 Labs suggèrent que les inondations de SYN sont un des types d’attaques DoS volumétriques les plus courants chaque année. Elles peuvent être utilisées en combinaison avec ou comme écran de fumée pour d’autres types d’attaques, y compris les attaques de rançon ou les efforts pour voler des données ou implanter des logiciels malveillants.
Chaque conversation client-serveur commence par une poignée de main standardisée à trois phases. Le client envoie un paquet SYN, le serveur répond avec un SYN-ACK, et la connexion TCP est établie. Lors d’une attaque par inondation SYN, le client envoie un nombre excessif de requêtes SYN, et ignore délibérément les messages SYN-ACK du serveur.
Cela laisse le serveur avec des connexions ouvertes en attente de la communication suivante de la part du client. Chaque connexion est suivie dans la table de connexion TCP du serveur, ce qui finit par remplir la table et bloquer ainsi toute nouvelle tentative de connexion, quelle qu’en soit la source. Il en résulte une perte de continuité des activités et d’accès aux données.
Les inondations SYN sont fréquemment effectuées par des bots se connectant à partir d’adresses IP usurpées afin de rendre l’attaque plus difficile à identifier et à atténuer. Les botnets peuvent lancer des inondations SYN en tant qu’attaques par déni de service distribué (DDoS).
Les solutions de protection F5 contre les attaques par déni de service (DDoS) permettent d’assurer que les attaques contre le réseau ne pourront pas paralyser ni mettre hors service vos serveurs et vos applications, vous faisant perdre la confiance de vos clients. Elles sont capables de reconnaître la possibilité qu’une attaque par inondation SYN soit en cours, et de prendre des mesures défensives d’atténuation pour protéger la table de connexions tout en permettant aux connexions légitimes d’accéder au réseau protégé. Avec ce type de défense, les requêtes SYN de l’attaquant reçoivent des réponses qui le laissent supposer que l’attaque fonctionne, mais la table de connexions n’atteint jamais la limite de sa capacité, car seules les demandes de connexion valides y conservent un emplacement.
