Tievolu Tievolu TievoluAtak TCP ACK Flood jest formą ataku Denial-of-Service (DoS) lub Distributed Denial-of-Service (DDoS), w którym do systemu docelowego wysyłana jest duża liczba pakietów TCP z ustawioną flagą ACK. Celem ataku jest przeciążenie przepustowości lub zasobów systemu docelowego lub jego zapory ogniowej poprzez wysyłanie skrajnie dużej liczby pozornie legalnych pakietów danych. Takie pakiety są trudne do odróżnienia przez serwer od legalnych połączeń, ponieważ pakiety ACK są typowo częścią aktywnych sesji TCP. Zapory ogniowe i systemy inspekcji pakietów ze śledzeniem stanu są szczególnie atakowane w tym typie ataku: urządzenia są zmuszone do sprawdzania stanu istniejącego połączenia dla każdego odebranego pakietu ACK, co może szybko prowadzić do przeciążenia. W rezultacie legalni użytkownicy nie mogą już uzyskać dostępu do serwerów lub usług.
TCP ACK Flood wykorzystuje protokół TCP, generując masowo pakiety TCP z ustawioną flagą ACK i wysyłając je do celu. W normalnych warunkach klient wysyła pakiet ACK jako część ustalonego nawiązywania połączenia lub w celu potwierdzenia odbioru danych. W ACK Flood atakujący wysyła jednak duże ilości takich pakietów, często bez istnienia ważnego połączenia lub z różnych sfałszowanych źródeł. Proces przebiega następująco:
Celem ataku niekoniecznie jest wyczerpanie portów serwera jak w przypadku SYN Flood, lecz raczej przeciążenie infrastruktury odpowiedzialnej za śledzenie stanu połączeń TCP, w szczególności zapór ogniowych, modułów równoważenia obciążenia i innych appliance sieciowych.
W atakach DDoS z ACK Flood atakujący często używają botnetów do wysyłania dużych ilości pakietów ACK z wielu różnych adresów IP. Dystrybucja znacznie utrudnia identyfikację i blokowanie źródeł i może nawet doprowadzić rozległe systemy zapory ogniowej do ich granic pojemności.
Wiele ataków ACK Flood wykorzystuje sfałszowane (spoofowane) adresy źródłowe. System docelowy może zatem zazwyczaj śledzić i konkretnie blokować pakiety tylko z dużą trudnością, co zwiększa ryzyko udanego ataku i komplikuje środki zaradcze.
Zapory ogniowe, Systemy Wykrywania Włamań (IDS) i moduły równoważenia obciążenia są szczególnie podatne na ataki TCP ACK Flood, ponieważ polegają na stateful inspection. Próbują przypisać każdą transakcję pakietu ACK do wewnętrznego śledzenia, co przy dużych wolumenach może spowodować awarię systemu.
W przeciwieństwie do ataków SYN Flood, które tworzą otwarte połączenia, ataki ACK Flood mają na celu zalanie istniejącej infrastruktury – zwłaszcza komponentów ze śledzeniem stanu – żądaniami, tak aby nie mogły już reagować na legalny ruch.
Aby chronić się przed atakami DDoS TCP ACK Flood, dostępne są różne środki:
W przeciwieństwie do klasycznych zapór ogniowych, które utrzymują stan dla każdego połączenia, filtry bezstanowe mogą definiować reguły filtrujące podejrzane pakiety ACK na poziomie sieci bez śledzenia stanu połączenia. Pozwala to na skuteczniejsze blokowanie dużych ilości pakietów "flood" zanim przeciążą mechanizm ze śledzeniem stanu.
Ograniczając maksymalny dopuszczalny wolumen pakietów ACK na sekundę na adres IP, można wykryć i spowolnić nieoczekiwanie intensywny ruch. Nowoczesne routery i zapory ogniowe oferują obszerne opcje konfiguracji w tym zakresie. ISP często też pomagają w hamowaniu ataków flood bezpośrednio w sieci backbone.
Systemy automatycznego wykrywania anomalii sieciowych mogą identyfikować nagłe i niewyjaśnione skoki w pakietach ACK i stosować ukierunkowane reguły blokowania do dotkniętego ruchu. W ten sposób legalny ruch jest priorytetowy, a infrastruktura chroniona.
Podejrzane źródła, poszczególne bloki IP lub różne kraje pochodzenia mogą być tymczasowo zablokowane w wyjątkowych przypadkach w celu neutralizacji ataku. Jednak ta metoda powinna być stosowana bardzo selektywnie, aby uniknąć szkód ubocznych dla legalnych użytkowników.
Tievolu wykrywa i blokuje ataki TCP ACK Flood za pomocą wewnętrznie opracowanej DDoS Protection "Tievolu PYRUS". Cały ruch TCP jest stale sprawdzany pod kątem anomalii, a niebezpieczne ataki ACK Flood są hamowane przez inteligentne reguły filtrowania. Nawet przy atakach wysokowoluminowych z wielu źródeł, dynamiczna kombinacja automatycznego rozpoznawania wzorców i naszego specjalnie opracowanego filtrowania Connection Inspection zapobiega przeciążeniu sieci. Filtry Tievolu PYRUS są dostosowywane w czasie rzeczywistym, a źródła atakujących są automatycznie blokowane.
Alternatywnie klienci mogą aktywować dodatkową warstwę ochrony przed atakami TCP ACK Flood poprzez naszą Cloud Firewall. W Cloud Firewall można skonfigurować specyficzne reguły filtrowania TCP, które przechwytują wyłącznie pakiety ACK. Reguły te można również łączyć z różnymi mechanizmami ograniczania szybkości, aby ograniczyć liczbę przychodzących żądań. Ponadto możliwe jest rozszerzenie filtrów o blokady ASN lub geograficzne (geo-blocking), aby we wczesnym stadium zredukować podejrzany lub niepożądany ruch.
