Tievolu Tievolu TievoluUn ataque TCP ACK Flood es una forma de ataque de denegación de servicio (DoS) o denegación de servicio distribuido (DDoS) en el que se envía una gran cantidad de paquetes TCP con el flag ACK activado al sistema objetivo. El objetivo del ataque es sobrecargar el ancho de banda o los recursos del sistema objetivo o su firewall enviando un número extremadamente alto de paquetes de datos aparentemente legítimos. Dichos paquetes son difíciles de distinguir por el servidor de las conexiones legítimas, ya que los paquetes ACK suelen ser parte de las sesiones TCP activas. Los firewalls y los sistemas de inspección de paquetes con estado son particularmente atacados en este tipo de ataque: los dispositivos se ven obligados a verificar el estado de una conexión existente para cada paquete ACK recibido, lo que puede provocar rápidamente una sobrecarga. Como resultado, los usuarios legítimos ya no pueden acceder a los servidores o servicios.
Un TCP ACK Flood explota el protocolo TCP generando masivamente paquetes TCP con el flag ACK activado y enviándolos al objetivo. En condiciones normales, un cliente envía un paquete ACK como parte de un establecimiento de conexión establecido o para confirmar la recepción de datos. En un ACK Flood, sin embargo, el atacante envía grandes cantidades de dichos paquetes, a menudo sin que exista una conexión válida o desde varias fuentes falsificadas. El proceso es el siguiente:
El objetivo del ataque no es necesariamente agotar los puertos del servidor como en un SYN Flood, sino más bien sobrecargar la infraestructura responsable del seguimiento de estado de las conexiones TCP, en particular firewalls, balanceadores de carga y otros appliances de red.
En los ataques DDoS con ACK Flood, los atacantes suelen utilizar botnets para enviar grandes cantidades de paquetes ACK desde muchas direcciones IP diferentes. La distribución dificulta considerablemente la identificación y el bloqueo de las fuentes y puede incluso llevar los sistemas de firewall extensos a sus límites de capacidad.
Muchos ACK Floods utilizan direcciones de origen falsificadas (suplantadas). Por tanto, el sistema objetivo generalmente solo puede rastrear y bloquear específicamente los paquetes con gran dificultad, lo que aumenta el riesgo de un ataque exitoso y complica las contramedidas.
Los firewalls, los Sistemas de Detección de Intrusiones (IDS) y los balanceadores de carga son particularmente vulnerables a los TCP ACK Floods ya que dependen de la inspección con estado. Intentan asignar cada transacción de paquete ACK al seguimiento interno, lo que puede causar un fallo del sistema con grandes volúmenes.
A diferencia de los ataques SYN Flood que crean conexiones abiertas, los ACK Floods apuntan a abrumar la infraestructura existente, especialmente los componentes con estado, con solicitudes para que ya no puedan responder al tráfico legítimo.
Para protegerse contra los ataques DDoS TCP ACK Flood, están disponibles varias medidas:
A diferencia de los firewalls clásicos que mantienen un estado para cada conexión, los filtros sin estado pueden definir reglas que filtran los paquetes ACK sospechosos a nivel de red sin rastrear el estado de la conexión. Esto permite bloquear más eficazmente grandes cantidades de paquetes "flood" antes de que sobrecarguen un mecanismo con estado.
Al limitar el volumen máximo permitido de paquetes ACK por segundo por dirección IP, el tráfico inesperadamente intenso puede detectarse y frenarse. Los routers y firewalls modernos ofrecen amplias opciones de configuración para ello. Los ISPs también suelen ayudar a contener los ataques flood directamente en la red backbone.
Los sistemas de detección automatizada de anomalías de red pueden identificar picos repentinos e inexplicables en los paquetes ACK y aplicar reglas de bloqueo dirigidas al tráfico afectado. Esto prioriza el tráfico legítimo y protege la infraestructura.
Las fuentes sospechosas, los bloques IP individuales o varios países de origen pueden bloquearse temporalmente en casos excepcionales para neutralizar el ataque. Sin embargo, este método debe utilizarse de forma muy selectiva para evitar daños colaterales a los usuarios legítimos.
Tievolu detecta y bloquea los ataques TCP ACK Flood con la DDoS Protection desarrollada internamente "Tievolu PYRUS". Todo el tráfico TCP se verifica continuamente en busca de anomalías y los ACK Floods peligrosos son frenados por reglas de filtrado inteligentes. Incluso con ataques de alto volumen procedentes de muchas fuentes, una combinación dinámica de reconocimiento automatizado de patrones y nuestro filtrado de inspección de conexión especialmente desarrollado previene la sobrecarga de la red. Los filtros Tievolu PYRUS se ajustan en tiempo real y las fuentes de los atacantes se bloquean automáticamente.
Alternativamente, los clientes pueden activar una capa de protección adicional contra los ataques TCP ACK Flood a través de nuestro Cloud Firewall. En el Cloud Firewall, se pueden configurar reglas de filtrado TCP específicas para capturar específicamente solo los paquetes ACK. Estas reglas también se pueden combinar con varios mecanismos de limitación de velocidad para limitar el número de solicitudes entrantes. Además, es posible ampliar los filtros con bloqueos ASN o geográficos (geo-bloqueo) para reducir el tráfico sospechoso o no deseado en una etapa temprana.
