Tievolu Tievolu TievoluEin TCP-SYN-Flood-Angriff (auch „halboffener Angriff" genannt) ist eine Form des Denial-of-Service-(DoS)- bzw. Distributed-Denial-of-Service-(DDoS)-Angriffs. Ziel des Angriffs ist es, einen Server für legitime Anfragen unerreichbar zu machen, indem dessen Ressourcen gezielt überlastet werden. Dabei sendet der Angreifer eine große Anzahl von SYN-Paketen, die zur Initiierung einer TCP-Verbindung dienen. Der Server reserviert daraufhin Ressourcen für jede eingehende Verbindungsanfrage und wartet auf die abschließende Bestätigung des Clients. Da diese Bestätigung jedoch ausbleibt, bleiben viele Verbindungen „halboffen". Dadurch werden die verfügbaren Ports und Systemressourcen des Servers nach und nach erschöpft, sodass legitime Nutzer nur noch verzögert oder gar nicht mehr auf den Dienst zugreifen können.
TCP-SYN-Flood-Angriffe nutzen gezielt den Verbindungsaufbau einer TCP-Verbindung aus. Unter normalen Bedingungen erfolgt dieser Aufbau über den sogenannten Drei-Wege-Handshake, der aus drei aufeinanderfolgenden Schritten besteht, um eine stabile Verbindung zwischen Client und Server herzustellen.
Für einen Denial-of-Service-Angriff nutzt ein Angreifer aus, dass der Server nach dem Empfang eines SYN-Pakets Ressourcen reserviert, ein SYN/ACK-Paket zurücksendet und anschließend auf die abschließende Bestätigung des Clients wartet. Genau dieses Verhalten macht sich der Angreifer zunutze. Der Ablauf gestaltet sich dabei wie folgt:
Wenn ein Server im Netzwerk eine Verbindung als offen betrachtet, der Kommunikationspartner jedoch keine vollständige Verbindung herstellt, spricht man von einer halboffenen Verbindung. Bei dieser Form eines DDoS-Angriffs hält der Zielserver zahlreiche solcher unvollständigen Verbindungen offen und wartet jeweils auf ein Timeout, bevor die belegten Ressourcen und Ports wieder freigegeben werden. Da sich dabei kontinuierlich neue halboffene Verbindungen ansammeln, wird diese Angriffstechnik auch als „halboffener Angriff" bezeichnet.
Wenn ein Angriff über ein Botnetz durchgeführt wird, ist die Rückverfolgung zum eigentlichen Angreifer deutlich erschwert, da der Datenverkehr über viele kompromittierte Geräte verteilt wird. Zur zusätzlichen Verschleierung können Angreifer außerdem die IP-Adressen der sendenden Geräte manipulieren oder verschleiern, sodass die tatsächliche Herkunft der Pakete schwer zu identifizieren ist. Wird ein Botnetz wie das Mirai Botnet eingesetzt, ist eine klassische IP-Verschleierung des Angreifers oft nicht mehr notwendig, da die Kommunikation ohnehin über zahlreiche infizierte Geräte erfolgt, die selbst Teil des Angriffs sind.
Ein TCP-SYN-Flood-Angriff ohne IP-Spoofing wird als direkter Angriff bezeichnet. Dabei verwendet der Angreifer seine echte IP-Adresse und verzichtet vollständig auf deren Verschleierung. Da der Angriff von einem einzelnen Quellsystem ausgeht, ist er vergleichsweise leicht zu erkennen und zu blockieren. Um den halboffenen Verbindungszustand auf dem Zielsystem zu erzeugen, sorgt der Angreifer dafür, dass sein Rechner nicht auf die SYN/ACK-Antworten des Servers reagiert. Dies kann beispielsweise durch Firewall-Regeln erreicht werden, die ausgehende Antworten unterdrücken oder eingehende SYN/ACK-Pakete gezielt verwerfen. In der Praxis wird diese Methode jedoch nur selten eingesetzt, da sie relativ einfach abzuwehren ist – etwa durch das Blockieren der einzelnen angreifenden IP-Adresse. Wird stattdessen ein Botnetz wie das Mirai Botnet verwendet, entfällt die Notwendigkeit einer IP-Verschleierung des eigentlichen Angreifers, da der Angriff ohnehin über viele kompromittierte Geräte verteilt erfolgt.
Ein Angreifer kann zusätzlich die IP-Adresse in den gesendeten SYN-Paketen fälschen (IP-Spoofing), um Abwehrmaßnahmen zu erschweren und seine Identität zu verschleiern. Auch wenn die Pakete manipulierte Absenderadressen enthalten, ist eine Rückverfolgung bis zur tatsächlichen Quelle unter bestimmten Umständen dennoch möglich. Zwar ist dieser Prozess aufwendig und komplex, jedoch nicht grundsätzlich ausgeschlossen – insbesondere dann, wenn Internet Service Provider (ISPs) bei der Analyse und Nachverfolgung der Netzwerkpfade mitwirken.
Ein TCP-SYN-Flood-Angriff ermöglicht es einem Angreifer, einen Denial-of-Service auf einem Zielsystem oder Dienst mit vergleichsweise geringem Datenaufkommen zu erzeugen. Im Gegensatz zu volumetrischen DDoS-Angriffen, die primär die Netzwerkinfrastruktur durch große Datenmengen überlasten, konzentriert sich dieser Angriff auf die Ressourcen des Betriebssystems selbst. Dabei reicht es bereits aus, wenn die Anzahl der halboffenen Verbindungen die Kapazität des sogenannten Backlogs des Zielsystems übersteigt. Kann der Angreifer zudem die Größe dieses Backlogs sowie die Timeout-Dauer der offenen Verbindungen abschätzen, lassen sich die notwendigen Parameter präzise bestimmen, um das System gezielt zu überlasten. Dadurch kann ein Denial-of-Service bereits mit minimal notwendigem Netzwerkverkehr erreicht werden.
Um sich gegen TCP SYN Flood DDoS-Angriffe zu schützen, gibt es mehrere Möglichkeiten:
Zu dieser Strategie gehört der Einsatz sogenannter Cookies durch den Server. Um zu verhindern, dass der Backlog durch SYN-Anfragen überläuft und legitime Verbindungen abgewiesen werden, antwortet der Server zunächst auf jede Verbindungsanfrage mit einem SYN/ACK-Paket, speichert die Anfrage jedoch nicht dauerhaft im Backlog. Stattdessen werden die zugehörigen Informationen vorübergehend verworfen, wodurch Ressourcen freigehalten und Ports weiterhin für neue Verbindungen verfügbar bleiben. Erst wenn vom Client ein gültiges abschließendes ACK-Paket eingeht, wird die Verbindung als legitim bestätigt und der zugehörige Zustand im Backlog – mit gewissen Einschränkungen – wiederhergestellt. Auch wenn dabei einige Verbindungsinformationen nicht vollständig erhalten bleiben, wird dieser Kompromiss in Kauf genommen, da er verhindert, dass legitime Nutzer durch einen Angriff von einem Denial-of-Service betroffen sind.
Jedes Betriebssystem auf einem Zielsystem begrenzt die Anzahl gleichzeitig möglicher halboffener Verbindungen. Eine mögliche Reaktion auf hohe Mengen eingehender SYN-Anfragen besteht darin, dieses Limit zu erhöhen und somit mehr gleichzeitige Verbindungsanfragen zuzulassen. Um den Backlog zu vergrößern, müssen jedoch zusätzliche Systemressourcen, insbesondere Arbeitsspeicher, für die Verwaltung der offenen Verbindungen bereitgestellt werden. Reichen diese Ressourcen nicht aus, kann dies die Systemleistung zwar beeinträchtigen, ist jedoch in vielen Fällen immer noch vorzuziehen gegenüber einem vollständigen Dienstausfall durch einen Denial-of-Service-Angriff.
Eine weitere Abwehrstrategie besteht darin, bei vollem Backlog die jeweils älteste halboffene Verbindung zu verwerfen und durch eine neue zu ersetzen. Diese Methode setzt voraus, dass legitime Verbindungen schneller vollständig aufgebaut werden können, als der Backlog durch bösartige SYN-Anfragen gefüllt wird. Andernfalls verliert das System weiterhin Ressourcen für nicht abgeschlossene Verbindungen. Die Strategie ist jedoch nur begrenzt wirksam und kann scheitern, wenn das Angriffsvolumen zu hoch ist oder der Backlog insgesamt zu klein dimensioniert ist.
Rate Limiting ist eine Methode, die es einem Server ermöglicht, die Anzahl der eingehenden SYN-Anfragen pro IP-Adresse zu begrenzen. Dies verhindert, dass ein Angreifer zu viele SYN-Anfragen senden kann und so den Backlog überläuft. Rate Limiting wird oft in Routern oder Firewalls eingesetzt, um DDoS-Angriffe zu verhindern. Der Rate Limiting-Schutz prüft jedes eingehende SYN-Paket und vergleicht es mit einem vordefinierten Muster. Wenn das Paket nicht mit dem Muster übereinstimmt, wird es verworfen. Dies verhindert, dass ein Angreifer einen Denial-of-Service-Angriff durchführen kann.
Tievolu schützt vor TCP-SYN-Flood-Angriffen mit der eigens entwickelten DDoS-Protection „Tievolu PYRUS". Dabei wird der gesamte TCP-Datenverkehr kontinuierlich überwacht und bei Bedarf automatisch gefiltert. Ein integriertes KI- und ML-basiertes System erkennt dabei ungewöhnliche Muster und Anomalien und reagiert innerhalb weniger Sekunden mit geeigneten Gegenmaßnahmen. Verschiedene Parameter werden dabei berücksichtigt, um eine möglichst präzise und effektive Abwehr sicherzustellen. Wird ein TCP-SYN-Flood-Angriff identifiziert, erkennt die DDoS-Protection das charakteristische Angriffsmuster und erstellt automatisch Filterregeln, die in den entsprechenden Filter-Appliances umgesetzt werden. Dadurch können bekannte Angriffsquellen automatisch erkannt und blockiert werden, ohne dass ein manueller Eingriff erforderlich ist.
Alternativ können Kunden über unsere Cloud Firewall eine zusätzliche Schutzschicht gegen TCP-SYN-Flood-Angriffe aktivieren. In der Cloud Firewall lassen sich unter anderem spezifische TCP-Filterregeln konfigurieren, die gezielt nur SYN-Pakete erfassen. Diese Regeln können zudem mit verschiedenen Rate-Limiting-Mechanismen kombiniert werden, um die Anzahl eingehender Anfragen zu begrenzen. Zusätzlich besteht die Möglichkeit, Filter mit ASN- oder geografischen Sperren (Geo-Blocking) zu erweitern, um verdächtigen oder unerwünschten Traffic bereits frühzeitig zu reduzieren.
