Tievolu Tievolu TievoluEen TCP SYN Flood-aanval (ook bekend als een "half-open aanval") is een vorm van een Denial-of-Service (DoS)- of Distributed Denial-of-Service (DDoS)-aanval. Het doel van de aanval is om een server onbereikbaar te maken voor legitieme verzoeken door zijn middelen bewust te overbelasten. De aanvaller stuurt een groot aantal SYN-pakketten, die worden gebruikt om een TCP-verbinding te initiëren. De server reserveert dan resources voor elk inkomend verbindingsverzoek en wacht op de definitieve bevestiging van de client. Omdat deze bevestiging nooit aankomt, blijven veel verbindingen "half-open". Dit put geleidelijk de beschikbare poorten en systeembronnen van de server uit, zodat legitieme gebruikers de service slechts met vertraging of helemaal niet meer kunnen gebruiken.
TCP SYN Flood-aanvallen maken specifiek misbruik van het verbindingsopbouwproces van een TCP-verbinding. Onder normale omstandigheden verloopt deze opbouw via de zogenaamde drie-weg-handshake, die uit drie opeenvolgende stappen bestaat om een stabiele verbinding tussen client en server tot stand te brengen.
Voor een Denial-of-Service-aanval maakt een aanvaller misbruik van het feit dat de server resources reserveert na ontvangst van een SYN-pakket, een SYN/ACK-pakket terugstuurt en vervolgens wacht op de definitieve bevestiging van de client. Precies dit gedrag benut de aanvaller. Het proces verloopt als volgt:
Wanneer een server in het netwerk een verbinding als open beschouwt, maar de communicatiepartner geen volledige verbinding tot stand brengt, spreekt men van een half-open verbinding. Bij deze vorm van DDoS-aanval houdt de doelserver veel van dergelijke onvolledige verbindingen open en wacht op een time-out voordat de bezette resources en poorten worden vrijgegeven. Omdat nieuwe half-open verbindingen voortdurend worden opgebouwd, wordt deze aanvalstechniek ook wel "half-open aanval" genoemd.
Wanneer een aanval wordt uitgevoerd via een botnet, is het terugvinden van de werkelijke aanvaller aanzienlijk moeilijker, omdat het verkeer wordt verdeeld over veel gecompromitteerde apparaten. Aanvallers kunnen ook de IP-adressen van de verzendende apparaten manipuleren of verhullen, waardoor het moeilijk wordt de werkelijke herkomst van de pakketten te identificeren. Als een botnet zoals het Mirai-botnet wordt gebruikt, is klassieke IP-verhulling van de aanvaller vaak niet meer nodig, omdat de communicatie toch al via tal van geïnfecteerde apparaten verloopt die zelf deel uitmaken van de aanval.
Een TCP SYN Flood-aanval zonder IP-spoofing wordt een directe aanval genoemd. In dit geval gebruikt de aanvaller zijn echte IP-adres zonder enige verhulling. Omdat de aanval afkomstig is van één bronsysteem, is deze relatief eenvoudig te detecteren en te blokkeren. Om de half-open verbindingsstatus op het doelsysteem te creëren, zorgt de aanvaller ervoor dat zijn computer niet reageert op de SYN/ACK-antwoorden van de server. Dit kan bijvoorbeeld worden bereikt via firewallregels die uitgaande antwoorden onderdrukken of inkomende SYN/ACK-pakketten specifiek verwerpen. In de praktijk wordt deze methode echter zelden gebruikt, omdat deze relatief eenvoudig te verdedigen is – bijvoorbeeld door het enkele aanvallende IP-adres te blokkeren. Als in plaats daarvan een botnet zoals het Mirai-botnet wordt gebruikt, is de noodzaak om het IP van de werkelijke aanvaller te verhullen verdwenen, omdat de aanval toch al is verdeeld over veel gecompromitteerde apparaten.
Een aanvaller kan ook het IP-adres in de verzonden SYN-pakketten vervalsen (IP-spoofing) om verdedigingsmaatregelen moeilijker te maken en zijn identiteit te verhullen. Zelfs als de pakketten gemanipuleerde afzenderadressen bevatten, is het terugvinden van de werkelijke bron onder bepaalde omstandigheden nog steeds mogelijk. Hoewel dit proces complex en uitdagend is, is het niet fundamenteel uitgesloten, vooral wanneer internetserviceproviders (ISP's) meewerken aan het analyseren en traceren van netwerkpaden.
Een TCP SYN Flood-aanval stelt een aanvaller in staat om een denial-of-service op een doelsysteem of dienst te creëren met een relatief laag datavolume. In tegenstelling tot volumetrische DDoS-aanvallen, die voornamelijk de netwerkinfrastructuur overbelasten met grote hoeveelheden data, richt deze aanval zich op de resources van het besturingssysteem zelf. Het is voldoende als het aantal half-open verbindingen de capaciteit van de zogenaamde backlog van het doelsysteem overschrijdt. Als de aanvaller ook de grootte van deze backlog en de time-outduur van open verbindingen kan schatten, kunnen de nodige parameters nauwkeurig worden bepaald om het systeem bewust te overbelasten. Hierdoor kan een denial-of-service worden bereikt met minimaal netwerkverkeer.
Om u te beschermen tegen TCP SYN Flood DDoS-aanvallen zijn er verschillende opties beschikbaar:
Deze strategie houdt in dat de server gebruik maakt van zogenaamde cookies. Om te voorkomen dat de backlog overloopt met SYN-verzoeken en legitieme verbindingen worden geweigerd, reageert de server aanvankelijk op elk verbindingsverzoek met een SYN/ACK-pakket, maar slaat het verzoek niet permanent op in de backlog. In plaats daarvan wordt de bijbehorende informatie tijdelijk weggegooid, waardoor resources vrij blijven en poorten beschikbaar blijven voor nieuwe verbindingen. Alleen wanneer een geldig definitief ACK-pakket van de client wordt ontvangen, wordt de verbinding bevestigd als legitiem en wordt de bijbehorende status in de backlog hersteld, met bepaalde beperkingen. Hoewel niet alle verbindingsinformatie volledig behouden blijft, wordt dit compromis geaccepteerd omdat het voorkomt dat legitieme gebruikers worden getroffen door een denial-of-service tijdens een aanval.
Elk besturingssysteem op een doelsysteem beperkt het aantal gelijktijdig mogelijke half-open verbindingen. Een mogelijke reactie op hoge volumes inkomende SYN-verzoeken is dit limiet te verhogen, waardoor meer gelijktijdige verbindingsverzoeken mogelijk zijn. Het vergroten van de backlog vereist echter extra systeembronnen, met name geheugen, voor het beheer van de open verbindingen. Als deze resources onvoldoende zijn, kan dit de systeemprestaties beïnvloeden, maar is in veel gevallen nog steeds te verkiezen boven een volledige service-uitval veroorzaakt door een denial-of-service-aanval.
Een andere verdedigingsstrategie is de oudste half-open verbinding te verwijderen wanneer de backlog vol is en deze te vervangen door een nieuwe. Deze methode gaat ervan uit dat legitieme verbindingen sneller volledig tot stand kunnen worden gebracht dan de backlog wordt gevuld met kwaadaardige SYN-verzoeken. Anders blijft het systeem resources verliezen aan onvolledige verbindingen. De strategie is slechts gedeeltelijk effectief en kan mislukken als het aanvalsvolume te hoog is of de backlog te klein is.
Rate limiting is een methode waarmee een server het aantal inkomende SYN-verzoeken per IP-adres kan beperken. Dit voorkomt dat een aanvaller te veel SYN-verzoeken verstuurt en de backlog overstroomt. Rate limiting wordt vaak gebruikt in routers of firewalls om DDoS-aanvallen te voorkomen. De rate limiting-bescherming controleert elk inkomend SYN-pakket en vergelijkt het met een vooraf gedefinieerd patroon. Als het pakket niet overeenkomt met het patroon, wordt het verwijderd. Dit voorkomt dat een aanvaller een denial-of-service-aanval kan uitvoeren.
Tievolu beschermt tegen TCP SYN Flood-aanvallen met de intern ontwikkelde DDoS Protection "Tievolu PYRUS". Al het TCP-verkeer wordt continu gemonitord en indien nodig automatisch gefilterd. Een geïntegreerd AI- en ML-gebaseerd systeem detecteert ongewone patronen en anomalieën en reageert binnen enkele seconden met passende tegenmaatregelen. Verschillende parameters worden in aanmerking genomen om de meest nauwkeurige en effectieve verdediging mogelijk te garanderen. Wanneer een TCP SYN Flood-aanval wordt geïdentificeerd, herkent de DDoS Protection het kenmerkende aanvalspatroon en maakt automatisch filterregels aan die worden geïmplementeerd in de bijbehorende filter-appliances. Hierdoor kunnen bekende aanvalsbronnen automatisch worden gedetecteerd en geblokkeerd zonder handmatige tussenkomst.
Klanten kunnen via onze Cloud Firewall ook een extra beschermingslaag activeren tegen TCP SYN Flood-aanvallen. In de Cloud Firewall kunnen specifieke TCP-filterregels worden geconfigureerd die specifiek alleen SYN-pakketten vastleggen. Deze regels kunnen ook worden gecombineerd met diverse rate-limiting-mechanismen om het aantal inkomende verzoeken te beperken. Bovendien is het mogelijk filters uit te breiden met ASN- of geografische blokkades (geo-blocking) om verdacht of ongewenst verkeer in een vroeg stadium te verminderen.
