Tievolu Tievolu TievoluEin TCP-ACK-Flood-Angriff ist eine Form des Denial-of-Service-(DoS)- bzw. Distributed-Denial-of-Service-(DDoS)-Angriffs, bei der eine große Menge an TCP-Paketen mit gesetztem ACK-Flag an das Zielsystem gesendet wird. Ziel des Angriffs ist es, die Bandbreite oder die Ressourcen des Zielsystems oder dessen Firewall zu überlasten, indem extrem viele scheinbar legitime Datenpakete verschickt werden. Solche Pakete sind für den Server schwer von legitimen Verbindungen zu unterscheiden, da ACK-Pakete üblicherweise Bestandteil von aktiven TCP-Sitzungen sind. Besonders Firewalls und stateful Packet-Inspection-Systeme werden bei dieser Art Angriff gezielt ausgereizt: Die Geräte werden gezwungen, für jedes erhaltene ACK-Paket den Zustand einer bestehenden Verbindung zu überprüfen, was schnell zu einer Überlastung führen kann. Dadurch können legitime Nutzer nicht mehr auf Server oder Dienste zugreifen.
Ein TCP ACK Flood nutzt das TCP-Protokoll aus, indem massenhaft TCP-Pakete mit gesetztem ACK-Flag generiert und an das Ziel gesendet werden. Unter normalen Bedingungen sendet ein Client ein ACK-Paket als Teil eines etablierten Verbindungsaufbaus oder zum Bestätigen des Empfangs von Daten. Beim ACK Flood sendet der Angreifer jedoch große Mengen solcher Pakete, oft ohne dass eine gültige Verbindung besteht oder aus verschiedenen gefälschten Quellen. Der Ablauf ist wie folgt:
Ziel des Angriffs ist nicht zwangsläufig die Auslastung der Server-Ports wie beim SYN Flood, sondern vielmehr die Überlastung der Infrastruktur, die für das Zustandstracking von TCP-Verbindungen zuständig ist, insbesondere Firewalls, Load Balancer und andere Netzwerk-Appliances.
Beim DDoS-Angriff mit ACK Flood nutzen Angreifer häufig Botnetze, um große Mengen von ACK-Paketen von vielen verschiedenen IP-Adressen aus zu senden. Die Verteilung erschwert die Identifikation und das Blockieren der Quellen erheblich und kann sogar umfangreiche Firewallsysteme an ihre Kapazitätsgrenze bringen.
Viele ACK Floods erfolgen mit gefälschten (gespooften) Quelladressen. Das Zielsystem kann die Pakete daher meist nur schwer zurückverfolgen und gezielt blockieren, was das Risiko eines erfolgreichen Angriffs erhöht und Gegenmaßnahmen erschwert.
Insbesondere Firewalls, Intrusion Detection Systeme (IDS) und Load-Balancer sind durch TCP ACK Floods gefährdet, da sie auf stateful inspection angewiesen sind. Sie versuchen für jedes ACK-Paket die Transaktion dem internen Tracking zuzuordnen, was bei großen Mengen einen Systemausfall verursachen kann.
Im Gegensatz zu SYN Flood Angriffe, bei denen offene Verbindungen erzeugt werden, setzen ACK Floods darauf, bestehende Infrastruktur – vor allem zustandsbehaftete Komponenten – mit Anfragen zu überschwemmen, sodass diese nicht mehr auf legitimen Traffic reagieren können.
Um sich gegen TCP ACK Flood DDoS-Angriffe zu schützen, stehen verschiedene Maßnahmen zur Verfügung:
Im Gegensatz zu klassischen Firewalls, die für jede Verbindung einen Zustand pflegen, können stateless Filter Regeln festlegen, die verdächtige ACK-Pakete bereits auf Netzwerkebene filtern, ohne den Verbindungsstatus nachzuhalten. So lassen sich große Mengen "Flood"-Pakete effektiver abwehren, bevor sie einen stateful-Mechanismus überlasten.
Durch Begrenzung der maximal zulässigen Menge an ACK-Paketen pro Sekunde pro IP-Adresse kann unerwartet starker Datenverkehr erkannt und gebremst werden. Moderne Router und Firewalls bieten hierzu umfangreiche Konfigurationsmöglichkeiten. Auch ISPs helfen oft mit, um Flood-Angriffe direkt im Backbone-Netz einzubremsen.
Systeme zur automatisierten Erkennung von Netzwerk-Anomalien können plötzliche und unerklärliche Anstiege bei ACK-Paketen identifizieren und gezielt Blockierregeln für den betroffenen Traffic anwenden. So wird legitimer Traffic bevorzugt und die Infrastruktur geschützt.
Verdächtige Quellen, einzelne IP-Blöcke oder verschiedene Herkunftsländer können im Ausnahmefall temporär blockiert werden, um den Angriff zu entschärfen. Diese Methode sollte jedoch sehr gezielt eingesetzt werden, um Kollateralschäden für legitime Nutzer zu vermeiden.
Tievolu erkennt und blockiert TCP ACK Flood-Angriffe mit der eigens entwickelten DDoS-Protection „Tievolu PYRUS". Der gesamte TCP-Datenverkehr wird fortlaufend anomaliereich geprüft und gefährliche ACK-Floods durch intelligente Filterregeln gebremst. Selbst bei großvolumigen Angriffen von vielen Quellen verhindert eine dynamische Kombination aus automatisierter Mustererkennung und unser speziell entwickelten Connection Inspection Filterung wird eine Überlastung des Netzwerks verhindert. Die Tievolu-PYRUS-Filter werden dabei in Echtzeit angepasst und Angreiferquellen automatisiert blockiert.
Alternativ können Kunden über unsere Cloud Firewall eine zusätzliche Schutzschicht gegen TCP-ACK-Flood-Angriffe aktivieren. In der Cloud Firewall lassen sich unter anderem spezifische TCP-Filterregeln konfigurieren, die gezielt nur ACK-Pakete erfassen. Diese Regeln können zudem mit verschiedenen Rate-Limiting-Mechanismen kombiniert werden, um die Anzahl eingehender Anfragen zu begrenzen. Zusätzlich besteht die Möglichkeit, Filter mit ASN- oder geografischen Sperren (Geo-Blocking) zu erweitern, um verdächtigen oder unerwünschten Traffic bereits frühzeitig zu reduzieren.
