O que é um ataque de inundação de SYN?
Uma inundação de SYN, também conhecida como inundação de SYN TCP, é um tipo de ataque de negação de serviço (DoS) ou de negação de serviço distribuído (DDoS) que envia um grande número de solicitações SYN a um servidor para sobrecarregá-lo com conexões abertas.
Uma inundação de SYN, às vezes conhecida como ataque semiaberto, é um ataque de camada de rede que bombardeia um servidor com solicitações de conexão sem responder às confirmações correspondentes. O grande número de conexões TCP abertas resultantes consomem os recursos do servidor para essencialmente bloquear o tráfego legítimo, tornando impossível abrir novas conexões legítimas e difícil ou impossível para o servidor funcionar corretamente para usuários autorizados que já estão conectados.
Praticamente qualquer organização com um site voltado para o público é vulnerável a esse tipo de ataque. Se uma inundação de SYN não for detectada e resolvida de imediato, ela pode sobrecarregar rapidamente um servidor para reduzir muito as respostas do servidor e impedir qualquer outra conexão. Isso efetivamente coloca o servidor off-line para que usuários legítimos tenham o serviço negado, perdendo o acesso a aplicações e dados ou impedindo o comércio eletrônico. Os resultados podem incluir perda de continuidade dos negócios, interrupção da infraestrutura crítica, vendas perdidas ou reputação danificada. Para algumas organizações, como as do setor de saúde, os danos causados pela perda de acesso aos dados podem ser fatais.
A pesquisa da F5 Labs sugere que as inundações de SYN são um dos tipos mais comuns de ataques de DoS volumétricos a cada ano. Eles podem ser usados em combinação ou como uma cortina de fumaça para outros tipos de ataques, incluindo ataques de ransomware ou tentativas de roubar dados ou plantar malware.
Cada conversa cliente-servidor começa com um handshake de três vias padronizado. O cliente envia um pacote SYN, o servidor responde com um SYN-ACK e a conexão TCP é estabelecida. Em um ataque de inundação de SYN, o cliente envia um número devastador de solicitações SYN e intencionalmente nunca responde às mensagens SYN-ACK do servidor.
Isso deixa o servidor com conexões abertas aguardando comunicação do cliente. Cada um é rastreado na tabela de conexão TCP do servidor, eventualmente preenchendo a tabela e bloqueando mais tentativas de conexão de qualquer fonte. Perda de continuidade de negócios e resultado de acesso a dados.
As inundações de SYN são frequentemente realizadas por bots que se conectam a partir de endereços IP falsificados para tornar o ataque mais difícil de identificar e mitigar. Os botnets podem lançar inundações de SYN como ataques de negação de serviço distribuído (DDoS).
As soluções de proteção contra DDoS da F5 ajudam a garantir que os ataques contra a rede não prejudiquem — ou pior, desliguem — seu servidor e as camadas de aplicações, afastando seus clientes. Nossas soluções são capazes de reconhecer que pode estar ocorrendo um ataque de inundação de SYN e tomar medidas defensivas de mitigação para proteger a tabela de conexão enquanto permite o acesso de conexões legítimas à rede protegida. Com esse tipo de defesa, as solicitações SYN do invasor obtêm respostas, assim ele pensa que o ataque está funcionando, mas a tabela de conexão nunca atinge a capacidade porque apenas as solicitações de conexão válidas retêm slots na tabela de conexão.
