Tievolu Tievolu TievoluEin TCP SYN-ACK Flood ist eine spezielle Variante von DDoS-Angriffen, bei der Zielsysteme mit einer großen Anzahl von TCP SYN-ACK Paketen überflutet werden. Anders als beim klassischen SYN-Flood, bei dem zahlreiche SYN-Pakete gesendet werden, um halboffene Verbindungen zu erzeugen, schickt der Angreifer beim SYN-ACK-Flood massenhaft gefälschte SYN-ACK-Antworten an Server oder Endpunkte. Ziel dieses Angriffs ist es, Verbindungszustände auszulösen, Ressourcen zu verbrauchen oder Netzwerkgeräte wie Firewalls und Intrusion Prevention Systeme (IPS) zu überlasten, da diese jedes eingehende SYN-ACK-Paket verarbeiten oder loggen müssen, obwohl keine Verbindung aufgebaut wurde.
Normalerweise erfolgt im TCP-Protokoll nach einem SYN-Paket (Verbindungsanfrage) die Antwort des Servers mit einem SYN-ACK. Der Client bestätigt die Verbindung mit einem ACK, und erst danach ist der Drei-Wege-Handshake abgeschlossen. Beim SYN-ACK-Flood sendet der Angreifer jedoch massenhaft SYN-ACK-Pakete, häufig mit gefälschten Quell- und Zieladressen, ins Zielnetzwerk, ohne dass zuvor eine Verbindung aufgebaut wurde. Das Verhalten des Ziels auf diese Pakete hängt vom System ab:
Bei hoher Angriffslast können so Netzwerkgeräte oder Endpunkte überfordert werden, was zu Performanceproblemen oder sogar zum Ausfall zentraler Sicherheitsinfrastruktur führen kann. Aus Angreifersicht ist dieser Angriff besonders deshalb attraktiv, weil in vielen Netzwerken das Filtern von SYN-ACK Paketen nicht explizit vorgesehen ist und der Angriff ohne Stabilitätsprüfungen der Gegenstelle durchgeführt werden kann.
Wie bei anderen DDoS-Varianten kann auch der SYN-ACK Flood von einem Botnetz ausgehen. Dabei senden tausende infizierte Geräte synchron SYN-ACK-Pakete an das Ziel, um Firewalls, Server und Netzwerkhardware zu überlasten und den legitimen Betrieb zu stören.
Oft werden SYN-ACK Floods nicht gegen Endnutzer, sondern gezielt gegen Firewalls, Load Balancer oder Intrusion Detection/Prevention Systeme eingesetzt, da diese besonders auf unerwartete Pakete reagieren und sich besonders leicht mit Protokolltabellen oder Speicherüberlauf attackieren lassen.
Durch das Fälschen der Quelladresse in den SYN-ACK-Paketen kann der Angreifer Rückverfolgungen erschweren und den Ressourcenverbrauch auf noch mehr Systeme im Zielnetzwerk ausweiten.
Im Gegensatz zu SYN-Flood-Angriffen, bei denen Server Ressourcen für nicht abgeschlossene Verbindungen reservieren, steht beim SYN-ACK-Flood die Belastung durch ungewöhnliche, nicht protokolkonforme Pakete und das Ausnutzen der Reaktionsmechanismen moderner Netzwerksicherheitssysteme im Vordergrund. Durch die schiere Menge an Paketen werden Protokolltabellen, Logfiles und CPU-Ressourcen überbeansprucht, was den Betrieb im Extremfall komplett lahmlegen kann.
Zur Abwehr von TCP SYN-ACK Floods bestehen verschiedene Möglichkeiten:
Moderne Firewalls und Intrusion Prevention Systeme sollten in der Lage sein, SYN-ACK Pakete, die ohne zugeordnete vorherige SYN-Verbindung auftauchen, zu erkennen und zu blockieren. Hierbei werden Verbindungs- und Status-Tracking-Mechanismen („stateful inspection") genutzt.
Durch eine Limitierung der zulässigen Anzahl von SYN-ACK-Paketen pro Zeitintervall kann die Wirkung des Angriffs stark abgeschwächt werden. Besonders sinnvoll ist die Begrenzung für SYN-ACK-Pakete ohne bestehende zugeordnete Verbindung.
Durch Monitoring des eingehenden Traffics und den Einsatz von Systemen, die Muster und Anomalien automatisch erkennen (z. B. KI- oder ML-basierte Systeme), lassen sich SYN-ACK Floods rasch identifizieren und Gegenmaßnahmen wie Blackholing oder Scrubbing aktivieren.
Unsere „Tievolu PYRUS DDoS Protection" erkennt SYN-ACK Floods anhand charakteristischer Paketanomalien im TCP-Traffic. Durch Verbindungstracking lassen sich SYN-ACK Pakete, die außerhalb eines gültigen Verbindungsaufbaus erscheinen, wirkungsvoll blockieren. Der Schutz arbeitet vollautomatisch und skaliert sowohl gegen gezielte als auch großvolumige SYN-ACK Flood Angriffe. Anpassbare Schwellenwerte und intelligente Filtermechanismen sorgen dafür, dass legitimer Traffic nicht beeinträchtigt wird.
Alternativ können Kunden über unsere Cloud Firewall eine zusätzliche Schutzschicht gegen TCP-SYN-ACK-Flood-Angriffe aktivieren. In der Cloud Firewall lassen sich unter anderem spezifische TCP-Filterregeln konfigurieren, die gezielt Pakete mit den TCP Flags SYN & ACK erfassen. Diese Regeln können zudem mit verschiedenen Rate-Limiting-Mechanismen kombiniert werden, um die Anzahl eingehender Anfragen zu begrenzen. Zusätzlich besteht die Möglichkeit, Filter mit ASN- oder geografischen Sperren (Geo-Blocking) zu erweitern, um verdächtigen oder unerwünschten Traffic bereits frühzeitig zu reduzieren.
