Tievolu Tievolu TievoluUn TCP SYN-ACK Flood est une variante spécifique d'attaques DDoS dans laquelle les systèmes cibles sont inondés d'un grand nombre de paquets TCP SYN-ACK. Contrairement au SYN Flood classique, où de nombreux paquets SYN sont envoyés pour créer des connexions semi-ouvertes, dans un SYN-ACK Flood l'attaquant envoie massivement de fausses réponses SYN-ACK à des serveurs ou endpoints. L'objectif de cette attaque est de déclencher des états de connexion, de consommer des ressources ou de surcharger des équipements réseau comme les pare-feux et les systèmes de prévention des intrusions (IPS), car ceux-ci doivent traiter ou journaliser chaque paquet SYN-ACK entrant même si aucune connexion n'a été établie.
Normalement dans le protocole TCP, après un paquet SYN (demande de connexion), le serveur répond avec un SYN-ACK. Le client confirme la connexion avec un ACK, et ce n'est qu'ensuite que le three-way handshake est terminé. Lors d'un SYN-ACK Flood, cependant, l'attaquant envoie massivement des paquets SYN-ACK, souvent avec des adresses source et destination falsifiées, dans le réseau cible sans qu'aucune connexion préalable n'ait été établie. Le comportement de la cible face à ces paquets dépend du système :
Sous forte charge d'attaque, les équipements réseau ou endpoints peuvent être débordés, entraînant des problèmes de performance ou même la défaillance d'une infrastructure de sécurité centrale. Du point de vue de l'attaquant, cette attaque est particulièrement attrayante car dans de nombreux réseaux le filtrage des paquets SYN-ACK n'est pas explicitement prévu et l'attaque peut être menée sans vérification de stabilité de l'autre côté.
Comme pour d'autres variantes DDoS, le SYN-ACK Flood peut également provenir d'un botnet. Des milliers d'appareils infectés envoient synchroniquement des paquets SYN-ACK à la cible pour surcharger les pare-feux, les serveurs et le matériel réseau et perturber les opérations légitimes.
Les SYN-ACK Floods sont souvent utilisés non contre les utilisateurs finaux, mais spécifiquement contre les pare-feux, les équilibreurs de charge ou les systèmes de détection/prévention des intrusions, car ceux-ci réagissent particulièrement aux paquets inattendus et sont particulièrement vulnérables aux débordements de tables de protocoles ou aux attaques par saturation mémoire.
En falsifiant l'adresse source dans les paquets SYN-ACK, l'attaquant peut rendre le traçage plus difficile et étendre la consommation de ressources à encore plus de systèmes dans le réseau cible.
Contrairement aux attaques SYN Flood, où les serveurs réservent des ressources pour des connexions incomplètes, le SYN-ACK Flood se concentre sur la charge causée par des paquets inhabituels et non conformes au protocole, exploitant les mécanismes de réaction des systèmes modernes de sécurité réseau. Le volume pur de paquets surchargent les tables de protocoles, les fichiers journaux et les ressources CPU, ce qui dans les cas extrêmes peut complètement paralyser les opérations.
Pour se défendre contre les TCP SYN-ACK Floods, diverses options sont disponibles :
Les pare-feux modernes et les systèmes de prévention des intrusions devraient être capables de détecter et de bloquer les paquets SYN-ACK qui apparaissent sans connexion SYN préalable associée. Cela est réalisé grâce à des mécanismes de suivi de connexion et d'état (« inspection avec état »).
En limitant le nombre autorisé de paquets SYN-ACK par intervalle de temps, l'impact de l'attaque peut être fortement atténué. Cette limitation est particulièrement utile pour les paquets SYN-ACK sans connexion associée existante.
En surveillant le trafic entrant et en utilisant des systèmes qui détectent automatiquement les modèles et les anomalies (par ex. des systèmes basés sur l'IA ou le ML), les SYN-ACK Floods peuvent être rapidement identifiés et des contre-mesures comme le blackholing ou le scrubbing activées.
Notre « Tievolu PYRUS DDoS Protection » détecte les SYN-ACK Floods sur la base d'anomalies de paquets caractéristiques dans le trafic TCP. Grâce au suivi des connexions, les paquets SYN-ACK qui apparaissent en dehors d'un établissement de connexion valide peuvent être efficacement bloqués. La protection fonctionne entièrement automatiquement et s'adapte aussi bien aux attaques SYN-ACK Flood ciblées que volumétriques. Des seuils configurables et des mécanismes de filtrage intelligents garantissent que le trafic légitime n'est pas affecté.
Alternativement, les clients peuvent activer une couche de protection supplémentaire contre les attaques TCP SYN-ACK Flood via notre Cloud Firewall. Dans le Cloud Firewall, des règles de filtrage TCP spécifiques peuvent être configurées pour capturer spécifiquement les paquets avec les flags TCP SYN & ACK. Ces règles peuvent également être combinées avec divers mécanismes de limitation de débit pour limiter le nombre de requêtes entrantes. De plus, il est possible d'étendre les filtres avec des blocages ASN ou géographiques (géo-blocage) pour réduire le trafic suspect ou indésirable dès un stade précoce.
