Tievolu Tievolu TievoluUn TCP SYN-ACK Flood è una variante specifica di attacchi DDoS in cui i sistemi target vengono inondati con un gran numero di pacchetti TCP SYN-ACK. A differenza del classico SYN Flood, dove vengono inviati numerosi pacchetti SYN per creare connessioni semiapertte, in un SYN-ACK Flood l'attaccante invia massicci falsi SYN-ACK risposta a server o endpoint. L'obiettivo di questo attacco è innescare stati di connessione, consumare risorse o sovraccaricare dispositivi di rete come firewall e Sistemi di Prevenzione delle Intrusioni (IPS), poiché questi devono elaborare o registrare ogni pacchetto SYN-ACK in entrata anche se non è stata stabilita alcuna connessione.
Normalmente nel protocollo TCP, dopo un pacchetto SYN (richiesta di connessione) il server risponde con un SYN-ACK. Il client conferma la connessione con un ACK, e solo allora l'handshake a tre vie è completato. In un SYN-ACK Flood, tuttavia, l'attaccante invia massicci pacchetti SYN-ACK, spesso con indirizzi di origine e destinazione falsificati, nella rete target senza che sia stata stabilita alcuna connessione previa. Il comportamento del target verso questi pacchetti dipende dal sistema:
Sotto alta carica di attacco, i dispositivi di rete o gli endpoint possono essere sopraffatti, portando a problemi di prestazioni o addirittura al fallimento dell'infrastruttura di sicurezza centrale. Dal punto di vista dell'attaccante, questo attacco è particolarmente attraente perché in molte reti il filtraggio dei pacchetti SYN-ACK non è esplicitamente previsto e l'attacco può essere condotto senza verifiche di stabilità dall'altro lato.
Come per altre varianti DDoS, il SYN-ACK Flood può originare anche da una botnet. Migliaia di dispositivi infetti inviano sincronicamente pacchetti SYN-ACK al target per sovraccaricare firewall, server e hardware di rete e disturbare le operazioni legittime.
I SYN-ACK Flood vengono spesso utilizzati non contro gli utenti finali, ma specificamente contro firewall, bilanciatori di carico o sistemi di Rilevamento/Prevenzione delle Intrusioni, poiché questi reagiscono particolarmente ai pacchetti inaspettati e sono particolarmente vulnerabili agli overflow delle tabelle di protocollo o agli attacchi di saturazione della memoria.
Falsificando l'indirizzo sorgente nei pacchetti SYN-ACK, l'attaccante può rendere più difficile il tracciamento ed estendere il consumo di risorse a ancora più sistemi nella rete target.
A differenza degli attacchi SYN Flood, dove i server riservano risorse per connessioni incomplete, il SYN-ACK Flood si concentra sul carico causato da pacchetti insoliti e non conformi al protocollo, sfruttando i meccanismi di reazione dei moderni sistemi di sicurezza di rete. Il puro volume di pacchetti sovraccaria le tabelle di protocollo, i file di log e le risorse CPU, il che nei casi estremi può paralizzare completamente le operazioni.
Per difendersi dai TCP SYN-ACK Flood, sono disponibili diverse opzioni:
I moderni firewall e Sistemi di Prevenzione delle Intrusioni dovrebbero essere in grado di rilevare e bloccare i pacchetti SYN-ACK che appaiono senza una connessione SYN precedente associata. Ciò viene realizzato utilizzando meccanismi di tracciamento di connessione e stato ("stateful inspection").
Limitando il numero consentito di pacchetti SYN-ACK per intervallo di tempo, l'impatto dell'attacco può essere notevolmente mitigato. Questa limitazione è particolarmente utile per i pacchetti SYN-ACK senza connessione associata esistente.
Monitorando il traffico in entrata e usando sistemi che rilevano automaticamente pattern e anomalie (ad es. sistemi basati su AI o ML), i SYN-ACK Flood possono essere rapidamente identificati e contromisure come il blackholing o lo scrubbing attivate.
La nostra "Tievolu PYRUS DDoS Protection" rileva i SYN-ACK Flood sulla base di anomalie di pacchetti caratteristiche nel traffico TCP. Attraverso il tracciamento delle connessioni, i pacchetti SYN-ACK che appaiono al di fuori di un valido stabilimento di connessione possono essere efficacemente bloccati. La protezione funziona in modo completamente automatico e scala sia contro attacchi SYN-ACK Flood mirati che ad alto volume. Soglie configurabili e meccanismi di filtraggio intelligenti garantiscono che il traffico legittimo non venga influenzato.
In alternativa, i clienti possono attivare un ulteriore livello di protezione contro gli attacchi TCP SYN-ACK Flood tramite il nostro Cloud Firewall. Nel Cloud Firewall, è possibile configurare regole di filtraggio TCP specifiche per catturare specificamente i pacchetti con i flag TCP SYN & ACK. Queste regole possono anche essere combinate con vari meccanismi di limitazione della velocità per limitare il numero di richieste in entrata. Inoltre, è possibile estendere i filtri con blocchi ASN o geografici (geo-blocking) per ridurre il traffico sospetto o indesiderato in una fase iniziale.
