Tievolu Tievolu TievoluUn attacco TCP ACK Flood è una forma di attacco Denial-of-Service (DoS) o Distributed Denial-of-Service (DDoS) in cui viene inviato un gran numero di pacchetti TCP con il flag ACK impostato al sistema target. L'obiettivo dell'attacco è sovraccaricare la larghezza di banda o le risorse del sistema target o del suo firewall inviando un numero estremamente elevato di pacchetti di dati apparentemente legittimi. Tali pacchetti sono difficili da distinguere dal server dalle connessioni legittime, poiché i pacchetti ACK sono tipicamente parte delle sessioni TCP attive. I firewall e i sistemi di ispezione dei pacchetti con stato sono particolarmente presi di mira in questo tipo di attacco: i dispositivi sono costretti a verificare lo stato di una connessione esistente per ogni pacchetto ACK ricevuto, il che può portare rapidamente a un sovraccarico. Di conseguenza, gli utenti legittimi non possono più accedere ai server o ai servizi.
Un TCP ACK Flood sfrutta il protocollo TCP generando massicci pacchetti TCP con il flag ACK impostato e inviandoli al target. In condizioni normali, un client invia un pacchetto ACK come parte di un stabilimento di connessione stabilito o per confermare la ricezione di dati. In un ACK Flood, tuttavia, l'attaccante invia grandi quantità di tali pacchetti, spesso senza che esista una connessione valida o da varie fonti falsificate. Il processo è il seguente:
L'obiettivo dell'attacco non è necessariamente esaurire le porte del server come in un SYN Flood, ma piuttosto sovraccaricare l'infrastruttura responsabile del tracciamento dello stato delle connessioni TCP, in particolare firewall, bilanciatori di carico e altri appliance di rete.
Negli attacchi DDoS con ACK Flood, gli attaccanti usano spesso botnet per inviare grandi quantità di pacchetti ACK da molti indirizzi IP diversi. La distribuzione rende l'identificazione e il blocco delle fonti considerevolmente più difficile e può persino spingere estesi sistemi firewall ai loro limiti di capacità.
Molti ACK Flood utilizzano indirizzi sorgente falsificati (spoofati). Il sistema target può quindi di solito solo tracciare e bloccare specificamente i pacchetti con grande difficoltà, il che aumenta il rischio di un attacco riuscito e complica le contromisure.
I firewall, i Sistemi di Rilevamento delle Intrusioni (IDS) e i bilanciatori di carico sono particolarmente vulnerabili ai TCP ACK Flood poiché dipendono dalla stateful inspection. Tentano di assegnare ogni transazione di pacchetto ACK al tracciamento interno, il che può causare un guasto del sistema con grandi volumi.
A differenza degli attacchi SYN Flood che creano connessioni aperte, gli ACK Flood mirano a sopraffare l'infrastruttura esistente – specialmente i componenti con stato – con richieste in modo che non possano più rispondere al traffico legittimo.
Per proteggersi dagli attacchi DDoS TCP ACK Flood, sono disponibili varie misure:
A differenza dei classici firewall che mantengono uno stato per ogni connessione, i filtri senza stato possono definire regole che filtrano i pacchetti ACK sospetti a livello di rete senza tracciare lo stato della connessione. Ciò consente di bloccare più efficacemente grandi quantità di pacchetti "flood" prima che sovraccarichino un meccanismo con stato.
Limitando il volume massimo consentito di pacchetti ACK al secondo per indirizzo IP, il traffico inaspettatamente intenso può essere rilevato e rallentato. I router e i firewall moderni offrono ampie opzioni di configurazione per questo. Anche gli ISP spesso aiutano a contenere gli attacchi flood direttamente nella rete backbone.
I sistemi di rilevamento automatizzato delle anomalie di rete possono identificare picchi improvvisi e inspiegabili nei pacchetti ACK e applicare regole di blocco mirate al traffico interessato. Ciò dà priorità al traffico legittimo e protegge l'infrastruttura.
Fonti sospette, singoli blocchi IP o vari paesi di origine possono essere temporaneamente bloccati in casi eccezionali per neutralizzare l'attacco. Tuttavia, questo metodo dovrebbe essere utilizzato in modo molto mirato per evitare danni collaterali agli utenti legittimi.
Tievolu rileva e blocca gli attacchi TCP ACK Flood con la DDoS Protection sviluppata internamente "Tievolu PYRUS". Tutto il traffico TCP viene continuamente verificato per le anomalie e i pericolosi ACK Flood vengono frenati da regole di filtraggio intelligenti. Anche con attacchi ad alto volume provenienti da molte fonti, una combinazione dinamica di riconoscimento automatizzato dei pattern e del nostro filtraggio Connection Inspection appositamente sviluppato impedisce il sovraccarico della rete. I filtri Tievolu PYRUS vengono regolati in tempo reale e le fonti degli attaccanti vengono bloccate automaticamente.
In alternativa, i clienti possono attivare un ulteriore livello di protezione contro gli attacchi TCP ACK Flood tramite il nostro Cloud Firewall. Nel Cloud Firewall, è possibile configurare regole di filtraggio TCP specifiche per catturare specificamente solo i pacchetti ACK. Queste regole possono anche essere combinate con vari meccanismi di limitazione della velocità per limitare il numero di richieste in entrata. Inoltre, è possibile estendere i filtri con blocchi ASN o geografici (geo-blocking) per ridurre il traffico sospetto o indesiderato in una fase iniziale.
