Tievolu Tievolu TievoluUne attaque TCP ACK Flood est une forme d'attaque par déni de service (DoS) ou par déni de service distribué (DDoS) dans laquelle un grand nombre de paquets TCP avec le flag ACK activé sont envoyés au système cible. L'objectif de l'attaque est de surcharger la bande passante ou les ressources du système cible ou de son pare-feu en envoyant un nombre extrêmement élevé de paquets de données apparemment légitimes. Ces paquets sont difficiles à distinguer des connexions légitimes par le serveur, car les paquets ACK font généralement partie des sessions TCP actives. Les pare-feux et les systèmes d'inspection de paquets avec état sont particulièrement ciblés dans ce type d'attaque : les dispositifs sont contraints de vérifier l'état d'une connexion existante pour chaque paquet ACK reçu, ce qui peut rapidement conduire à une surcharge. Par conséquent, les utilisateurs légitimes ne peuvent plus accéder aux serveurs ou aux services.
Un TCP ACK Flood exploite le protocole TCP en générant massivement des paquets TCP avec le flag ACK activé et en les envoyant à la cible. Dans des conditions normales, un client envoie un paquet ACK dans le cadre d'un établissement de connexion établi ou pour confirmer la réception de données. Lors d'un ACK Flood, l'attaquant envoie cependant de grandes quantités de tels paquets, souvent sans qu'une connexion valide existe ou depuis diverses sources falsifiées. Le processus est le suivant :
L'objectif de l'attaque n'est pas nécessairement d'épuiser les ports du serveur comme dans un SYN Flood, mais plutôt de surcharger l'infrastructure responsable du suivi d'état des connexions TCP, en particulier les pare-feux, les équilibreurs de charge et autres appliances réseau.
Dans les attaques DDoS utilisant ACK Flood, les attaquants utilisent souvent des botnets pour envoyer de grandes quantités de paquets ACK depuis de nombreuses adresses IP différentes. La distribution rend l'identification et le blocage des sources considérablement plus difficiles et peut même pousser des systèmes de pare-feu étendus à leurs limites de capacité.
De nombreux ACK Floods utilisent des adresses source falsifiées (usurpées). Le système cible ne peut généralement tracer et bloquer spécifiquement les paquets qu'avec beaucoup de difficulté, ce qui augmente le risque d'une attaque réussie et complique les contre-mesures.
Les pare-feux, les systèmes de détection des intrusions (IDS) et les équilibreurs de charge sont particulièrement vulnérables aux TCP ACK Floods car ils dépendent de l'inspection avec état. Ils tentent d'attribuer chaque transaction de paquet ACK au suivi interne, ce qui peut provoquer une panne du système avec de grands volumes.
Contrairement aux attaques SYN Flood qui créent des connexions ouvertes, les ACK Floods visent à submerger l'infrastructure existante – surtout les composants à état – avec des requêtes afin qu'ils ne puissent plus répondre au trafic légitime.
Pour se protéger contre les attaques DDoS TCP ACK Flood, diverses mesures sont disponibles :
Contrairement aux pare-feux classiques qui maintiennent un état pour chaque connexion, les filtres sans état peuvent définir des règles qui filtrent les paquets ACK suspects au niveau réseau sans suivre l'état de la connexion. Cela permet de bloquer plus efficacement les grandes quantités de paquets "flood" avant qu'ils ne surchargent un mécanisme avec état.
En limitant le volume maximal autorisé de paquets ACK par seconde par adresse IP, un trafic inopinément intense peut être détecté et ralenti. Les routeurs et pare-feux modernes offrent de nombreuses options de configuration à cet effet. Les FAI aident également souvent à contenir les attaques flood directement dans le réseau backbone.
Les systèmes de détection automatisée d'anomalies réseau peuvent identifier des pics soudains et inexpliqués de paquets ACK et appliquer des règles de blocage ciblées au trafic concerné. Cela donne la priorité au trafic légitime et protège l'infrastructure.
Des sources suspectes, des blocs IP individuels ou divers pays d'origine peuvent être temporairement bloqués dans des cas exceptionnels pour désamorcer l'attaque. Cependant, cette méthode doit être utilisée de manière très ciblée pour éviter les dommages collatéraux aux utilisateurs légitimes.
Tievolu détecte et bloque les attaques TCP ACK Flood avec la DDoS Protection développée en interne "Tievolu PYRUS". Tout le trafic TCP est continuellement vérifié pour les anomalies et les ACK Floods dangereux sont freinés par des règles de filtrage intelligentes. Même lors d'attaques volumétriques provenant de nombreuses sources, une combinaison dynamique de reconnaissance automatisée des patterns et de notre filtrage Connection Inspection spécialement développé empêche la surcharge du réseau. Les filtres Tievolu PYRUS sont ajustés en temps réel et les sources des attaquants sont automatiquement bloquées.
Alternativement, les clients peuvent activer une couche de protection supplémentaire contre les attaques TCP ACK Flood via notre Cloud Firewall. Dans le Cloud Firewall, des règles de filtrage TCP spécifiques peuvent être configurées pour capturer uniquement les paquets ACK. Ces règles peuvent également être combinées avec divers mécanismes de limitation de débit pour limiter le nombre de requêtes entrantes. De plus, il est possible d'étendre les filtres avec des blocages ASN ou géographiques (géo-blocage) pour réduire le trafic suspect ou indésirable dès un stade précoce.
