F5 GLOSSARY

Qu’est-ce qu’une attaque SYN Flood?

Le SYN Flood, également connue sous le nom d’inondation TCP SYN, est un type d’attaque par déni de service (DoS) ou déni de service distribué (DDoS) qui envoie un nombre massif de requêtes SYN à un serveur pour le submerger de connexions ouvertes.

Qu’est-ce que le SYN Flood?

Le SYN Flood, parfois appelée attaque de semi-ouverture, est une attaque au niveau du réseau qui bombarde un serveur de demandes de connexion, sans répondre aux accusés de réception correspondants. Le grand nombre de connexions TCP ouvertes qui en résulte consomme les ressources du serveur pour essentiellement noyer le trafic légitime, rendant impossible l’ouverture de nouvelles connexions légitimes et difficile ou impossible le fonctionnement correct du serveur pour les utilisateurs autorisés qui sont déjà connectés.

Pourquoi l’atténuation du SYN Flood est-elle importante?

Pratiquement toute organisation disposant d’un site web public est vulnérable à ce type d’attaque. Si le SYN Flood n’est pas rapidement détectée et traitée, elle peut rapidement submerger un serveur pour ralentir considérablement les réponses du serveur et empêcher toute autre connexion. Cela a pour effet de mettre le serveur hors ligne, de sorte que les utilisateurs légitimes se voient refuser le service, perdant ainsi l’accès aux applications et aux données ou empêchant le commerce électronique. Il peut en résulter une perte de continuité des activités, une perturbation de l’infrastructure critique, une perte de ventes ou une atteinte à la réputation. Pour certaines organisations, comme celles du secteur médical, les dommages causés par la perte de l’accès aux données peuvent poser un risque vital.

Les recherches de F5 Labs suggèrent que les SYN Flood sont un des types d’attaques DoS volumétriques les plus courants chaque année. Elles peuvent être utilisées en combinaison avec ou comme écran de fumée pour d’autres types d’attaques, y compris les attaques de rançon ou les efforts pour voler des données ou implanter des logiciels malveillants.

Comment fonctionnent le SYN Flood?

Chaque conversation client-serveur commence par une poignée de main standardisée à trois phases. Le client envoie un paquet SYN, le serveur répond avec un SYN-ACK, et la connexion TCP est établie. Lors d’une attaque par inondation SYN, le client envoie un nombre excessif de requêtes SYN, et ignore délibérément les messages SYN-ACK du serveur.

Cela laisse le serveur avec des connexions ouvertes en attente de la communication suivante de la part du client. Chaque connexion est suivie dans la table de connexion TCP du serveur, ce qui finit par remplir la table et bloquer ainsi toute nouvelle tentative de connexion, quelle qu’en soit la source. Il en résulte une perte de continuité des activités et d’accès aux données.

Les SYN Flood sont fréquemment effectuées par des bots se connectant à partir d’adresses IP usurpées afin de rendre l’attaque plus difficile à identifier et à atténuer. Les botnets peuvent lancer des SYN Flood en tant qu’attaques par déni de service distribué (DDoS).

Comment le F5 atténue les attaques SYN Flood?

Les solutions de protection F5 contre les attaques par déni de service (DDoS) permettent d’assurer que les attaques contre le réseau ne pourront pas paralyser ni mettre hors service vos serveurs et vos applications, vous faisant perdre la confiance de vos clients. Elles sont capables de reconnaître la possibilité qu’une attaque par SYN Flood soit en cours, et de prendre des mesures défensives d’atténuation pour protéger la table de connexions tout en permettant aux connexions légitimes d’accéder au réseau protégé. Avec ce type de défense, les requêtes SYN de l’attaquant reçoivent des réponses qui le laissent supposer que l’attaque fonctionne, mais la table de connexions n’atteint jamais la limite de sa capacité, car seules les demandes de connexion valides y conservent un emplacement.

Ressources

Protection DDoS

Zone de solution

Protection DDoS

En savoir plus ›

Article des Labs

Article

Qu’est-ce qu’une attaque par déni de service distribué ?

En savoir plus ›

eBook

EBOOK

Choisir le bon modèle : un guide sur la protection contre les DDoS

Lire l’eBook ›

                                                       < Aller au glossaire