O que é um ataque de inundação SYN?

Uma inundação SYN, também conhecida como inundação TCP SYN, é um tipo de ataque de negação de serviço (DoS) ou negação de serviço distribuída (DDoS) que envia um grande número de solicitações SYN a um servidor para sobrecarregá-lo com conexões abertas.

O que é um SYN Flood?

Um flood SYN, às vezes conhecido como ataque semiaberto, é um ataque na camada de rede que bombardeia um servidor com solicitações de conexão sem responder às confirmações correspondentes. O grande número de conexões TCP abertas resultantes consome os recursos do servidor para essencialmente expulsar o tráfego legítimo, tornando impossível abrir novas conexões legítimas e difícil ou impossível para o servidor funcionar corretamente para usuários autorizados que já estão conectados.

Por que a mitigação de inundação SYN é importante?

Praticamente qualquer organização com um site público é vulnerável a esse tipo de ataque. Se uma inundação de SYN não for detectada e tratada rapidamente, ela pode sobrecarregar um servidor, tornando as respostas do servidor drasticamente mais lentas e impedindo quaisquer outras conexões. Isso efetivamente deixa o servidor offline, impedindo que usuários legítimos tenham o serviço negado, perdendo acesso a aplicativos e dados ou impedindo o comércio eletrônico. Os resultados podem incluir perda de continuidade dos negócios, interrupção de infraestrutura crítica, perda de vendas ou reputação prejudicada. Para algumas organizações, como as do setor de saúde, o dano causado pela perda de acesso aos dados pode ser fatal.

A pesquisa do F5 Labs sugere que inundações de SYN são um dos tipos mais comuns de ataques DoS volumétricos a cada ano. Eles podem ser usados em combinação com outros tipos de ataques ou como cortina de fumaça para eles, incluindo ataques de ransomware ou tentativas de roubar dados ou implantar malware.

Como funciona o SYN Flooding?

Toda conversa cliente-servidor começa com um aperto de mão triplo padronizado. O cliente envia um pacote SYN, o servidor responde com um SYN-ACK e a conexão TCP é estabelecida. Em um ataque de inundação SYN, o cliente envia um número enorme de solicitações SYN e intencionalmente nunca responde às mensagens SYN-ACK do servidor.

Isso deixa o servidor com conexões abertas aguardando novas comunicações do cliente. Cada um é rastreado na tabela de conexão TCP do servidor, eventualmente preenchendo a tabela e bloqueando quaisquer tentativas de conexão de qualquer fonte. Isso resulta em perda de continuidade dos negócios e de acesso aos dados.

Inundações SYN são frequentemente realizadas por bots que se conectam a partir de endereços IP falsificados para dificultar a identificação e a mitigação de ataques. Botnets podem lançar inundações de SYN como ataques de negação de serviço distribuído (DDoS) .

Como o F5 atenua ataques de SYN Flood?

As soluções de proteção DDoS da F5 ajudam a garantir que ataques contra a rede não prejudiquem — ou pior, desliguem — seus servidores e camadas de aplicativos, afastando seus clientes. Nossas soluções podem reconhecer que um ataque de inundação SYN pode estar ocorrendo e tomar medidas defensivas de mitigação para proteger a tabela de conexão, permitindo ao mesmo tempo que conexões legítimas acessem a rede protegida. Com esse tipo de defesa, as solicitações SYN do invasor recebem respostas, então eles acham que o ataque está funcionando, mas a tabela de conexão nunca atinge a capacidade porque apenas solicitações de conexão válidas retêm slots na tabela de conexão.