Tievolu Tievolu TievoluEen TCP SYN-ACK Flood is een specifieke variant van DDoS-aanvallen waarbij doelsystemen worden overspoeld met een groot aantal TCP SYN-ACK-pakketten. In tegenstelling tot de klassieke SYN Flood, waarbij talrijke SYN-pakketten worden verzonden om half-open verbindingen te creëren, stuurt de aanvaller bij een SYN-ACK Flood massaal nep SYN-ACK-antwoorden naar servers of endpoints. Het doel van deze aanval is om verbindingsstatussen te activeren, resources te verbruiken of netwerkapparaten zoals firewalls en Intrusion Prevention Systems (IPS) te overbelasten, omdat deze elk inkomend SYN-ACK-pakket moeten verwerken of loggen ook al is er geen verbinding tot stand gebracht.
Normaal gesproken reageert de server in het TCP-protocol na een SYN-pakket (verbindingsverzoek) met een SYN-ACK. De client bevestigt de verbinding met een ACK, en pas daarna is de drie-weg-handshake voltooid. Bij een SYN-ACK Flood stuurt de aanvaller echter massaal SYN-ACK-pakketten, vaak met vervalste bron- en bestemmingsadressen, naar het doelnetwerk zonder dat er vooraf een verbinding is opgezet. Het gedrag van het doel tegenover deze pakketten hangt af van het systeem:
Bij hoge aanvalslast kunnen netwerkapparaten of endpoints worden overspoeld, wat leidt tot prestatieproblemen of zelfs het uitvallen van centrale beveiligingsinfrastructuur. Vanuit het oogpunt van de aanvaller is deze aanval bijzonder aantrekkelijk omdat het filteren van SYN-ACK-pakketten in veel netwerken niet expliciet is voorzien en de aanval zonder stabiliteitschecks van de andere kant kan worden uitgevoerd.
Net als bij andere DDoS-varianten kan de SYN-ACK Flood ook van een botnet afkomstig zijn. Duizenden geïnfecteerde apparaten sturen synchroon SYN-ACK-pakketten naar het doel om firewalls, servers en netwerkhardware te overbelasten en legitieme werking te verstoren.
SYN-ACK Floods worden vaak niet tegen eindgebruikers ingezet, maar specifiek tegen firewalls, load balancers of Intrusion Detection/Prevention Systems, omdat deze bijzonder reageren op onverwachte pakketten en bijzonder kwetsbaar zijn voor protocoltabeloverflows of geheugenoverflowaaanvallen.
Door het bronadres in de SYN-ACK-pakketten te vervalsen, kan de aanvaller tracering moeilijker maken en het resourceverbruik uitbreiden naar nog meer systemen in het doelnetwerk.
In tegenstelling tot SYN Flood-aanvallen, waarbij servers resources reserveren voor onvolledige verbindingen, staat bij de SYN-ACK Flood de belasting door ongewone, niet-protocolconforme pakketten centraal en het uitbuiten van de reactiemechanismen van moderne netwerkbeveiligingssystemen. De pure hoeveelheid pakketten overbelast protocoltabellen, logbestanden en CPU-resources, wat in extreme gevallen de werking volledig kan lamleggen.
Om u te verdedigen tegen TCP SYN-ACK Floods zijn er verschillende opties beschikbaar:
Moderne firewalls en Intrusion Prevention Systems moeten in staat zijn SYN-ACK-pakketten te detecteren en te blokkeren die verschijnen zonder een bijbehorende voorafgaande SYN-verbinding. Hiervoor worden verbindings- en statustrackingmechanismen ("stateful inspection") gebruikt.
Door het toegestane aantal SYN-ACK-pakketten per tijdsinterval te beperken, kan de impact van de aanval sterk worden afgezwakt. Deze beperking is met name nuttig voor SYN-ACK-pakketten zonder bestaande bijbehorende verbinding.
Door het inkomende verkeer te monitoren en systemen te gebruiken die patronen en anomalieën automatisch herkennen (bijv. AI- of ML-gebaseerde systemen), kunnen SYN-ACK Floods snel worden geïdentificeerd en tegenmaatregelen zoals blackholing of scrubbing worden geactiveerd.
Onze "Tievolu PYRUS DDoS Protection" detecteert SYN-ACK Floods op basis van karakteristieke pakketanomalieën in het TCP-verkeer. Door verbindingstracking kunnen SYN-ACK-pakketten die buiten een geldig verbindingsopbouwproces verschijnen effectief worden geblokkeerd. De bescherming werkt volledig automatisch en schaalt zowel tegen gerichte als grootvolumige SYN-ACK Flood-aanvallen. Configureerbare drempelwaarden en intelligente filtermechanismen zorgen ervoor dat legitiem verkeer niet wordt beïnvloed.
Klanten kunnen via onze Cloud Firewall ook een extra beschermingslaag activeren tegen TCP SYN-ACK Flood-aanvallen. In de Cloud Firewall kunnen specifieke TCP-filterregels worden geconfigureerd die specifiek pakketten met de TCP-flags SYN & ACK vastleggen. Deze regels kunnen ook worden gecombineerd met diverse rate-limiting-mechanismen om het aantal inkomende verzoeken te beperken. Bovendien is het mogelijk filters uit te breiden met ASN- of geografische blokkades (geo-blocking) om verdacht of ongewenst verkeer in een vroeg stadium te verminderen.
