Tievolu Tievolu TievoluUn ataque TCP SYN Flood (también conocido como "ataque semiabierto") es una forma de ataque de denegación de servicio (DoS) o denegación de servicio distribuido (DDoS). El objetivo del ataque es hacer que un servidor sea inaccesible para las solicitudes legítimas sobrecargando deliberadamente sus recursos. El atacante envía una gran cantidad de paquetes SYN, que se utilizan para iniciar una conexión TCP. El servidor reserva entonces recursos para cada solicitud de conexión entrante y espera la confirmación final del cliente. Como esta confirmación nunca llega, muchas conexiones permanecen "semiabiertas". Esto agota gradualmente los puertos disponibles y los recursos del sistema del servidor, de modo que los usuarios legítimos solo pueden acceder al servicio con retrasos o no pueden acceder en absoluto.
Los ataques TCP SYN Flood explotan específicamente el establecimiento de conexión TCP. En condiciones normales, este establecimiento ocurre a través del llamado protocolo de enlace de tres vías, que consiste en tres pasos consecutivos para establecer una conexión estable entre cliente y servidor.
Para un ataque de denegación de servicio, un atacante explota el hecho de que el servidor reserva recursos después de recibir un paquete SYN, envía de vuelta un paquete SYN/ACK y luego espera la confirmación final del cliente. Exactamente este comportamiento es del que el atacante saca provecho. El proceso es el siguiente:
Cuando un servidor en la red considera que una conexión está abierta, pero el socio de comunicación no completa una conexión completa, esto se llama conexión semiabierta. En esta forma de ataque DDoS, el servidor de destino mantiene muchas de estas conexiones incompletas abiertas y espera un tiempo de espera antes de liberar los recursos y puertos ocupados. Como nuevas conexiones semiabiertas se acumulan continuamente, esta técnica de ataque también se llama "ataque semiabierto".
Cuando un ataque se lleva a cabo a través de una botnet, rastrear al atacante real es significativamente más difícil, ya que el tráfico se distribuye a través de muchos dispositivos comprometidos. Los atacantes también pueden manipular u ocultar las direcciones IP de los dispositivos emisores, lo que dificulta identificar el origen real de los paquetes. Si se utiliza una botnet como la botnet Mirai, la ocultación clásica de la IP del atacante a menudo ya no es necesaria, ya que la comunicación ya se produce a través de numerosos dispositivos infectados que son parte del ataque.
Un ataque TCP SYN Flood sin suplantación de IP se denomina ataque directo. En este caso, el atacante utiliza su dirección IP real sin ninguna ocultación. Como el ataque proviene de un único sistema fuente, es relativamente fácil de detectar y bloquear. Para crear el estado de conexión semiabierta en el sistema de destino, el atacante se asegura de que su computadora no responda a las respuestas SYN/ACK del servidor. Esto puede lograrse, por ejemplo, mediante reglas de firewall que supriman las respuestas salientes o descarten específicamente los paquetes SYN/ACK entrantes. En la práctica, sin embargo, este método se usa raramente ya que es relativamente fácil de contrarrestar, por ejemplo bloqueando la única dirección IP atacante. Si se usa una botnet como la botnet Mirai, la necesidad de ocultar la IP del atacante real desaparece, ya que el ataque ya está distribuido a través de muchos dispositivos comprometidos.
Un atacante puede además falsificar la dirección IP en los paquetes SYN enviados (suplantación de IP) para dificultar las contramedidas y ocultar su identidad. Aunque los paquetes contengan direcciones de remitente manipuladas, rastrear hasta la fuente real sigue siendo posible en determinadas circunstancias. Si bien este proceso es complejo y laborioso, no está fundamentalmente excluido, especialmente cuando los proveedores de servicios de Internet (ISP) cooperan en el análisis y seguimiento de las rutas de red.
Un ataque TCP SYN Flood permite a un atacante crear una denegación de servicio en un sistema o servicio de destino con un volumen de datos comparativamente bajo. A diferencia de los ataques DDoS volumétricos, que principalmente sobrecargan la infraestructura de red con grandes cantidades de datos, este ataque se centra en los recursos del propio sistema operativo. Es suficiente si el número de conexiones semiabiertas supera la capacidad del llamado backlog del sistema de destino. Si el atacante también puede estimar el tamaño de este backlog y la duración del tiempo de espera de las conexiones abiertas, los parámetros necesarios se pueden determinar con precisión para sobrecargar deliberadamente el sistema. Esto permite lograr una denegación de servicio con un tráfico de red mínimo.
Para protegerse contra los ataques DDoS TCP SYN Flood, hay varias opciones disponibles:
Esta estrategia implica el uso de cookies por parte del servidor. Para evitar que el backlog se desborde con solicitudes SYN y que se rechacen conexiones legítimas, el servidor responde inicialmente a cada solicitud de conexión con un paquete SYN/ACK, pero no almacena la solicitud permanentemente en el backlog. En cambio, la información asociada se descarta temporalmente, liberando recursos y manteniendo los puertos disponibles para nuevas conexiones. Solo cuando se recibe un paquete ACK final válido del cliente se confirma la conexión como legítima y se restaura el estado asociado en el backlog, con ciertas limitaciones. Aunque no toda la información de conexión se preserve completamente, este compromiso se acepta porque evita que los usuarios legítimos se vean afectados por una denegación de servicio durante un ataque.
Cada sistema operativo en un sistema de destino limita el número de conexiones semiabiertas simultáneamente posibles. Una posible respuesta a los altos volúmenes de solicitudes SYN entrantes es aumentar este límite, permitiendo más solicitudes de conexión simultáneas. Sin embargo, aumentar el backlog requiere recursos del sistema adicionales, especialmente memoria, para administrar las conexiones abiertas. Si estos recursos son insuficientes, puede afectar el rendimiento del sistema, pero en muchos casos sigue siendo preferible a una interrupción completa del servicio causada por un ataque de denegación de servicio.
Otra estrategia de defensa es descartar la conexión semiabierta más antigua cuando el backlog está lleno y reemplazarla con una nueva. Este método supone que las conexiones legítimas se pueden establecer completamente más rápido de lo que el backlog se llena con solicitudes SYN maliciosas. De lo contrario, el sistema sigue perdiendo recursos en conexiones incompletas. La estrategia solo es parcialmente efectiva y puede fallar si el volumen de ataque es demasiado alto o el backlog es demasiado pequeño en general.
La limitación de velocidad es un método que permite a un servidor limitar el número de solicitudes SYN entrantes por dirección IP. Esto evita que un atacante envíe demasiadas solicitudes SYN y desborde el backlog. La limitación de velocidad se usa a menudo en routers o firewalls para prevenir ataques DDoS. La protección de limitación de velocidad verifica cada paquete SYN entrante y lo compara con un patrón predefinido. Si el paquete no coincide con el patrón, se descarta. Esto evita que un atacante lleve a cabo un ataque de denegación de servicio.
Tievolu protege contra los ataques TCP SYN Flood con la DDoS Protection desarrollada internamente "Tievolu PYRUS". Todo el tráfico TCP se monitorea continuamente y se filtra automáticamente cuando es necesario. Un sistema integrado basado en IA y ML detecta patrones inusuales y anomalías y responde en segundos con contramedidas apropiadas. Se tienen en cuenta varios parámetros para garantizar la defensa más precisa y efectiva posible. Cuando se identifica un ataque TCP SYN Flood, la DDoS Protection reconoce el patrón de ataque característico y crea automáticamente reglas de filtrado que se implementan en los appliances de filtrado correspondientes. Esto permite detectar y bloquear automáticamente las fuentes de ataque conocidas sin requerir intervención manual.
Alternativamente, los clientes pueden activar una capa de protección adicional contra los ataques TCP SYN Flood a través de nuestro Cloud Firewall. En el Cloud Firewall, se pueden configurar reglas de filtrado TCP específicas para capturar específicamente solo los paquetes SYN. Estas reglas también se pueden combinar con varios mecanismos de limitación de velocidad para limitar el número de solicitudes entrantes. Además, es posible ampliar los filtros con bloqueos ASN o geográficos (geo-bloqueo) para reducir el tráfico sospechoso o no deseado en una etapa temprana.
