Tievolu Tievolu TievoluUn TCP SYN-ACK Flood es una variante específica de ataques DDoS en la que los sistemas objetivo son inundados con un gran número de paquetes TCP SYN-ACK. A diferencia del SYN Flood clásico, donde se envían numerosos paquetes SYN para crear conexiones semiabiertas, en un SYN-ACK Flood el atacante envía masivamente respuestas SYN-ACK falsificadas a servidores o endpoints. El objetivo de este ataque es desencadenar estados de conexión, consumir recursos o sobrecargar dispositivos de red como firewalls y Sistemas de Prevención de Intrusiones (IPS), ya que estos deben procesar o registrar cada paquete SYN-ACK entrante aunque no se haya establecido ninguna conexión.
Normalmente en el protocolo TCP, después de un paquete SYN (solicitud de conexión) el servidor responde con un SYN-ACK. El cliente confirma la conexión con un ACK, y solo entonces se completa el protocolo de enlace de tres vías. En un SYN-ACK Flood, sin embargo, el atacante envía masivamente paquetes SYN-ACK, a menudo con direcciones de origen y destino falsificadas, a la red objetivo sin que se haya establecido ninguna conexión previa. El comportamiento del objetivo ante estos paquetes depende del sistema:
Bajo alta carga de ataque, los dispositivos de red o endpoints pueden verse desbordados, lo que lleva a problemas de rendimiento o incluso al fallo de la infraestructura de seguridad central. Desde la perspectiva del atacante, este ataque es particularmente atractivo porque en muchas redes el filtrado de paquetes SYN-ACK no está explícitamente previsto y el ataque puede llevarse a cabo sin comprobaciones de estabilidad del otro lado.
Como con otras variantes DDoS, el SYN-ACK Flood también puede originarse desde una botnet. Miles de dispositivos infectados envían sincrónicamente paquetes SYN-ACK al objetivo para sobrecargar firewalls, servidores y hardware de red y perturbar las operaciones legítimas.
Los SYN-ACK Floods a menudo se usan no contra usuarios finales, sino específicamente contra firewalls, balanceadores de carga o sistemas de Detección/Prevención de Intrusiones, ya que estos reaccionan especialmente a los paquetes inesperados y son particularmente vulnerables a los desbordamientos de tablas de protocolo o ataques de saturación de memoria.
Al falsificar la dirección de origen en los paquetes SYN-ACK, el atacante puede dificultar el rastreo y extender el consumo de recursos a aún más sistemas en la red objetivo.
A diferencia de los ataques SYN Flood, donde los servidores reservan recursos para conexiones incompletas, el SYN-ACK Flood se centra en la carga causada por paquetes inusuales y no conformes con el protocolo, explotando los mecanismos de reacción de los sistemas modernos de seguridad de red. El volumen puro de paquetes sobrecarga las tablas de protocolo, los archivos de registro y los recursos de CPU, lo que en casos extremos puede paralizar completamente las operaciones.
Para defenderse de los TCP SYN-ACK Floods, están disponibles varias opciones:
Los firewalls modernos y los Sistemas de Prevención de Intrusiones deberían ser capaces de detectar y bloquear los paquetes SYN-ACK que aparecen sin una conexión SYN previa asociada. Esto se logra mediante mecanismos de seguimiento de conexión y estado ("inspección con estado").
Limitando el número permitido de paquetes SYN-ACK por intervalo de tiempo, el impacto del ataque puede reducirse en gran medida. Esta limitación es particularmente útil para paquetes SYN-ACK sin conexión asociada existente.
Monitoreando el tráfico entrante y usando sistemas que detectan automáticamente patrones y anomalías (p. ej. sistemas basados en IA o ML), los SYN-ACK Floods pueden identificarse rápidamente y activarse contramedidas como el blackholing o el scrubbing.
Nuestra "Tievolu PYRUS DDoS Protection" detecta los SYN-ACK Floods basándose en anomalías de paquetes características en el tráfico TCP. Mediante el seguimiento de conexiones, los paquetes SYN-ACK que aparecen fuera de un establecimiento de conexión válido pueden bloquearse de manera efectiva. La protección funciona de forma totalmente automática y escala tanto contra ataques SYN-ACK Flood dirigidos como de alto volumen. Los umbrales configurables y los mecanismos de filtrado inteligentes garantizan que el tráfico legítimo no se vea afectado.
Alternativamente, los clientes pueden activar una capa de protección adicional contra los ataques TCP SYN-ACK Flood a través de nuestro Cloud Firewall. En el Cloud Firewall, se pueden configurar reglas de filtrado TCP específicas para capturar específicamente paquetes con los flags TCP SYN & ACK. Estas reglas también se pueden combinar con varios mecanismos de limitación de velocidad para limitar el número de solicitudes entrantes. Además, es posible ampliar los filtros con bloqueos ASN o geográficos (geo-bloqueo) para reducir el tráfico sospechoso o no deseado en una etapa temprana.
