Tievolu Tievolu TievoluUne attaque TCP SYN Flood (également appelée « attaque semi-ouverte ») est une forme d'attaque par déni de service (DoS) ou par déni de service distribué (DDoS). L'objectif de l'attaque est de rendre un serveur inaccessible aux requêtes légitimes en surchargeant délibérément ses ressources. L'attaquant envoie un grand nombre de paquets SYN, utilisés pour initier une connexion TCP. Le serveur réserve alors des ressources pour chaque demande de connexion entrante et attend la confirmation finale du client. Comme cette confirmation n'arrive jamais, de nombreuses connexions restent « semi-ouvertes ». Cela épuise progressivement les ports disponibles et les ressources système du serveur, de sorte que les utilisateurs légitimes ne peuvent accéder au service qu'avec des délais ou plus du tout.
Les attaques TCP SYN Flood exploitent spécifiquement l'établissement de connexion TCP. Dans des conditions normales, cet établissement se fait via le « three-way handshake », qui consiste en trois étapes consécutives pour établir une connexion stable entre le client et le serveur.
Pour une attaque par déni de service, un attaquant exploite le fait que le serveur réserve des ressources après réception d'un paquet SYN, renvoie un paquet SYN/ACK et attend ensuite la confirmation finale du client. C'est exactement ce comportement dont l'attaquant profite. Le déroulement est le suivant :
Lorsqu'un serveur du réseau considère une connexion comme ouverte, mais que le partenaire de communication n'établit pas de connexion complète, on parle de connexion semi-ouverte. Dans cette forme d'attaque DDoS, le serveur cible maintient de nombreuses connexions incomplètes ouvertes et attend un délai d'attente avant de libérer les ressources et ports occupés. Comme de nouvelles connexions semi-ouvertes s'accumulent continuellement, cette technique d'attaque est également appelée « attaque semi-ouverte ».
Lorsqu'une attaque est menée via un botnet, le traçage vers l'attaquant réel est considérablement plus difficile, car le trafic est distribué sur de nombreux appareils compromis. Pour masquer davantage leur identité, les attaquants peuvent également manipuler ou dissimuler les adresses IP des appareils émetteurs, rendant difficile l'identification de l'origine réelle des paquets. Si un botnet comme le Mirai botnet est utilisé, la dissimulation classique de l'IP de l'attaquant n'est souvent plus nécessaire, car la communication s'effectue de toute façon via de nombreux appareils infectés qui font eux-mêmes partie de l'attaque.
Une attaque TCP SYN Flood sans usurpation d'IP est appelée attaque directe. Dans ce cas, l'attaquant utilise sa véritable adresse IP sans aucune dissimulation. Comme l'attaque provient d'un seul système source, elle est relativement facile à détecter et à bloquer. Pour créer l'état de connexion semi-ouverte sur le système cible, l'attaquant s'assure que son ordinateur ne répond pas aux réponses SYN/ACK du serveur. Cela peut être réalisé, par exemple, via des règles de pare-feu qui suppriment les réponses sortantes ou rejettent spécifiquement les paquets SYN/ACK entrants. En pratique, cependant, cette méthode est rarement utilisée car elle est relativement facile à contrer – par exemple en bloquant l'adresse IP attaquante unique. Si un botnet comme le Mirai botnet est utilisé à la place, la nécessité de dissimuler l'IP de l'attaquant réel disparaît, car l'attaque est déjà distribuée sur de nombreux appareils compromis.
Un attaquant peut également falsifier l'adresse IP dans les paquets SYN envoyés (usurpation d'IP) pour rendre les contre-mesures plus difficiles et dissimuler son identité. Même si les paquets contiennent des adresses d'expéditeur manipulées, il est toujours possible dans certaines circonstances de remonter jusqu'à la source réelle. Bien que ce processus soit complexe et laborieux, il n'est pas fondamentalement exclu – notamment lorsque les fournisseurs d'accès Internet (FAI) coopèrent à l'analyse et au suivi des chemins réseau.
Une attaque TCP SYN Flood permet à un attaquant de créer un déni de service sur un système ou service cible avec un volume de données comparativement faible. Contrairement aux attaques DDoS volumétriques qui surchargent principalement l'infrastructure réseau avec de grandes quantités de données, cette attaque se concentre sur les ressources du système d'exploitation lui-même. Il suffit que le nombre de connexions semi-ouvertes dépasse la capacité du soi-disant backlog du système cible. Si l'attaquant peut également estimer la taille de ce backlog et la durée de délai d'attente des connexions ouvertes, les paramètres nécessaires peuvent être déterminés avec précision pour surcharger délibérément le système. Ainsi, un déni de service peut être atteint avec un trafic réseau minimal.
Pour se protéger contre les attaques DDoS TCP SYN Flood, plusieurs options sont disponibles :
Cette stratégie implique l'utilisation de cookies par le serveur. Pour éviter que le backlog ne déborde avec des requêtes SYN et que des connexions légitimes soient rejetées, le serveur répond d'abord à chaque demande de connexion avec un paquet SYN/ACK, mais ne stocke pas la demande de façon permanente dans le backlog. À la place, les informations associées sont temporairement supprimées, libérant des ressources et maintenant les ports disponibles pour de nouvelles connexions. Ce n'est que lorsqu'un paquet ACK final valide est reçu du client que la connexion est confirmée comme légitime et que l'état associé dans le backlog est restauré – avec certaines limitations. Même si certaines informations de connexion ne sont pas entièrement préservées, ce compromis est accepté car il empêche les utilisateurs légitimes d'être affectés par un déni de service lors d'une attaque.
Chaque système d'exploitation sur un système cible limite le nombre de connexions semi-ouvertes simultanément possibles. Une réponse possible aux volumes élevés de requêtes SYN entrantes est d'augmenter cette limite, permettant davantage de demandes de connexion simultanées. Cependant, l'augmentation du backlog nécessite des ressources système supplémentaires, notamment de la mémoire, pour gérer les connexions ouvertes. Si ces ressources sont insuffisantes, cela peut affecter les performances du système, mais dans de nombreux cas, c'est encore préférable à une panne de service complète causée par une attaque par déni de service.
Une autre stratégie de défense consiste à supprimer la connexion semi-ouverte la plus ancienne lorsque le backlog est plein et à la remplacer par une nouvelle. Cette méthode suppose que les connexions légitimes peuvent être entièrement établies plus rapidement que le backlog n'est rempli par des requêtes SYN malveillantes. Sinon, le système continue de perdre des ressources au profit de connexions incomplètes. La stratégie n'est que partiellement efficace et peut échouer si le volume d'attaque est trop élevé ou si le backlog est globalement trop petit.
La limitation de débit est une méthode permettant à un serveur de limiter le nombre de requêtes SYN entrantes par adresse IP. Cela empêche un attaquant d'envoyer trop de requêtes SYN et de faire déborder le backlog. La limitation de débit est souvent utilisée dans les routeurs ou les pare-feux pour prévenir les attaques DDoS. La protection par limitation de débit vérifie chaque paquet SYN entrant et le compare à un modèle prédéfini. Si le paquet ne correspond pas au modèle, il est rejeté. Cela empêche un attaquant de mener une attaque par déni de service.
Tievolu protège contre les attaques TCP SYN Flood avec la DDoS Protection développée en interne « Tievolu PYRUS ». L'ensemble du trafic TCP est surveillé en continu et filtré automatiquement si nécessaire. Un système intégré basé sur l'IA et le ML détecte les modèles inhabituels et les anomalies et répond en quelques secondes avec des contre-mesures appropriées. Différents paramètres sont pris en compte pour assurer une défense aussi précise et efficace que possible. Lorsqu'une attaque TCP SYN Flood est identifiée, la DDoS Protection reconnaît le modèle d'attaque caractéristique et crée automatiquement des règles de filtrage qui sont mises en œuvre dans les appliances de filtrage correspondantes. Cela permet de détecter et de bloquer automatiquement les sources d'attaques connues, sans nécessiter d'intervention manuelle.
Alternativement, les clients peuvent activer une couche de protection supplémentaire contre les attaques TCP SYN Flood via notre Cloud Firewall. Dans le Cloud Firewall, des règles de filtrage TCP spécifiques peuvent être configurées pour capturer uniquement les paquets SYN. Ces règles peuvent également être combinées avec divers mécanismes de limitation de débit pour limiter le nombre de requêtes entrantes. De plus, il est possible d'étendre les filtres avec des blocages ASN ou géographiques (géo-blocage) pour réduire le trafic suspect ou indésirable dès un stade précoce.
