Tievolu Tievolu TievoluEen TCP ACK Flood-aanval is een vorm van een Denial-of-Service (DoS)- of Distributed Denial-of-Service (DDoS)-aanval waarbij een groot aantal TCP-pakketten met de ACK-vlag ingesteld naar het doelsysteem worden gestuurd. Het doel van de aanval is om de bandbreedte of resources van het doelsysteem of zijn firewall te overbelasten door een extreem groot aantal schijnbaar legitieme datapakketten te versturen. Dergelijke pakketten zijn moeilijk door de server te onderscheiden van legitieme verbindingen, omdat ACK-pakketten doorgaans deel uitmaken van actieve TCP-sessies. Firewalls en stateful packet inspection-systemen worden bij dit type aanval bijzonder getroffen: de apparaten worden gedwongen om voor elk ontvangen ACK-pakket de toestand van een bestaande verbinding te controleren, wat snel kan leiden tot overbelasting. Hierdoor kunnen legitieme gebruikers geen toegang meer krijgen tot servers of diensten.
Een TCP ACK Flood maakt misbruik van het TCP-protocol door massaal TCP-pakketten met de ACK-vlag in te stellen en naar het doel te sturen. Onder normale omstandigheden stuurt een client een ACK-pakket als onderdeel van een vastgestelde verbindingsopbouw of om de ontvangst van gegevens te bevestigen. Bij een ACK Flood stuurt de aanvaller echter grote hoeveelheden van dergelijke pakketten, vaak zonder dat er een geldige verbinding bestaat of vanuit diverse vervalste bronnen. Het proces verloopt als volgt:
Het doel van de aanval is niet per se de serverpoorten te erschöpfen zoals bij een SYN Flood, maar eerder de infrastructuur te overbelasten die verantwoordelijk is voor het bijhouden van de toestand van TCP-verbindingen, met name firewalls, load balancers en andere netwerkappliances.
Bij DDoS-aanvallen met ACK Flood gebruiken aanvallers vaak botnets om grote hoeveelheden ACK-pakketten te sturen vanuit vele verschillende IP-adressen. De verdeling bemoeilijkt het identificeren en blokkeren van bronnen aanzienlijk en kan zelfs uitgebreide firewallsystemen tot hun capaciteitsgrens brengen.
Veel ACK Floods gebruiken vervalste (gespoofde) bronadressen. Het doelsysteem kan de pakketten daarom doorgaans alleen met grote moeite terugvinden en gericht blokkeren, wat het risico op een succesvolle aanval vergroot en tegenmaatregelen bemoeilijkt.
Met name firewalls, Intrusion Detection Systems (IDS) en load balancers zijn kwetsbaar voor TCP ACK Floods omdat ze afhankelijk zijn van stateful inspection. Ze proberen elke ACK-pakkettransactie aan de interne tracking toe te wijzen, wat bij grote volumes een systeemstoring kan veroorzaken.
In tegenstelling tot SYN Flood-aanvallen die open verbindingen creëren, zijn ACK Floods erop gericht bestaande infrastructuur – met name stateful componenten – te overspoelen met verzoeken zodat deze niet meer kunnen reageren op legitiem verkeer.
Om zich te beschermen tegen TCP ACK Flood DDoS-aanvallen zijn er verschillende maatregelen beschikbaar:
In tegenstelling tot klassieke firewalls die voor elke verbinding een toestand bijhouden, kunnen stateless filters regels definiëren die verdachte ACK-pakketten al op netwerkniveau filteren zonder de verbindingsstatus bij te houden. Zo kunnen grote hoeveelheden "flood"-pakketten effectiever worden geblokkeerd voordat ze een stateful mechanisme overbelasten.
Door het maximaal toegestane volume aan ACK-pakketten per seconde per IP-adres te beperken, kan onverwacht zwaar verkeer worden gedetecteerd en afgeremd. Moderne routers en firewalls bieden hiervoor uitgebreide configuratiemogelijkheden. ISP's helpen ook vaak om flood-aanvallen direct in het backbone-netwerk in te dammen.
Systemen voor geautomatiseerde detectie van netwerkanom alieën kunnen plotselinge en onverklaarbare pieken in ACK-pakketten identificeren en gericht blokkeringsregels toepassen op het getroffen verkeer. Zo krijgt legitiem verkeer voorrang en wordt de infrastructuur beschermd.
Verdachte bronnen, individuele IP-blokken of verschillende landen van herkomst kunnen in uitzonderlijke gevallen tijdelijk worden geblokkeerd om de aanval te neutraliseren. Deze methode moet echter zeer gericht worden ingezet om bijkomende schade voor legitieme gebruikers te vermijden.
Tievolu detecteert en blokkeert TCP ACK Flood-aanvallen met de intern ontwikkelde DDoS Protection "Tievolu PYRUS". Al het TCP-verkeer wordt voortdurend gecontroleerd op anomalieën en gevaarlijke ACK Floods worden afgeremd door intelligente filterregels. Zelfs bij grootvolumige aanvallen van vele bronnen voorkomt een dynamische combinatie van geautomatiseerde patroonherkenning en onze speciaal ontwikkelde Connection Inspection-filtering een overbelasting van het netwerk. De Tievolu PYRUS-filters worden in realtime aangepast en aanvallersbronnen worden automatisch geblokkeerd.
Klanten kunnen via onze Cloud Firewall ook een extra beschermingslaag activeren tegen TCP ACK Flood-aanvallen. In de Cloud Firewall kunnen specifieke TCP-filterregels worden geconfigureerd die specifiek alleen ACK-pakketten vastleggen. Deze regels kunnen ook worden gecombineerd met diverse rate-limiting-mechanismen om het aantal inkomende verzoeken te beperken. Bovendien is het mogelijk filters uit te breiden met ASN- of geografische blokkades (geo-blocking) om verdacht of ongewenst verkeer in een vroeg stadium te verminderen.
