Tievolu Tievolu TievoluTCP SYN-ACK Flood to specyficzny wariant ataków DDoS, w którym systemy docelowe są zalewane dużą liczbą pakietów TCP SYN-ACK. W przeciwieństwie do klasycznego SYN Flood, gdzie wysyłane są liczne pakiety SYN w celu tworzenia półotwartych połączeń, w SYN-ACK Flood atakujący masowo wysyła fałszywe odpowiedzi SYN-ACK do serwerów lub punktów końcowych. Celem tego ataku jest wyzwolenie stanów połączeń, zużycie zasobów lub przeciążenie urządzeń sieciowych, takich jak zapory ogniowe i Systemy Zapobiegania Włamaniom (IPS), ponieważ muszą one przetwarzać lub rejestrować każdy przychodzący pakiet SYN-ACK, mimo że nie zostało nawiązane żadne połączenie.
Normalnie w protokole TCP po pakiecie SYN (żądaniu połączenia) serwer odpowiada SYN-ACK. Klient potwierdza połączenie za pomocą ACK i dopiero wtedy trójstopniowy uścisk dłoni jest zakończony. Jednak w SYN-ACK Flood atakujący masowo wysyła pakiety SYN-ACK, często ze sfałszowanymi adresami źródłowymi i docelowymi, do sieci docelowej bez wcześniejszego nawiązania połączenia. Zachowanie celu wobec tych pakietów zależy od systemu:
Przy wysokim obciążeniu ataku urządzenia sieciowe lub punkty końcowe mogą być przytłoczone, co prowadzi do problemów z wydajnością lub nawet do awarii centralnej infrastruktury bezpieczeństwa. Z perspektywy atakującego ten atak jest szczególnie atrakcyjny, ponieważ w wielu sieciach filtrowanie pakietów SYN-ACK nie jest wyraźnie przewidziane, a atak można przeprowadzić bez sprawdzania stabilności po drugiej stronie.
Podobnie jak w przypadku innych wariantów DDoS, SYN-ACK Flood może również pochodzić z botnetu. Tysiące zainfekowanych urządzeń synchronicznie wysyła pakiety SYN-ACK do celu, aby przeciążyć zapory ogniowe, serwery i sprzęt sieciowy i zakłócić legalne operacje.
Ataki SYN-ACK Flood są często używane nie przeciwko użytkownikom końcowym, ale konkretnie przeciwko zaporom ogniowym, modułom równoważenia obciążenia lub systemom Wykrywania/Zapobiegania Włamaniom, ponieważ te reagują szczególnie mocno na nieoczekiwane pakiety i są szczególnie podatne na przepełnienia tabel protokołów lub ataki przepełnienia pamięci.
Fałszując adres źródłowy w pakietach SYN-ACK, atakujący może utrudnić śledzenie i rozszerzyć zużycie zasobów na jeszcze więcej systemów w sieci docelowej.
W przeciwieństwie do ataków SYN Flood, gdzie serwery rezerwują zasoby dla niekompletnych połączeń, SYN-ACK Flood koncentruje się na obciążeniu spowodowanym przez niezwykłe, niezgodne z protokołem pakiety i wykorzystywaniu mechanizmów reakcji nowoczesnych systemów bezpieczeństwa sieci. Sam wolumen pakietów przeciąża tabele protokołów, pliki dziennika i zasoby CPU, co w ekstremalnych przypadkach może całkowicie sparaliżować operacje.
Aby bronić się przed atakami TCP SYN-ACK Flood, dostępnych jest kilka opcji:
Nowoczesne zapory ogniowe i Systemy Zapobiegania Włamaniom powinny być w stanie wykrywać i blokować pakiety SYN-ACK, które pojawiają się bez powiązanego wcześniejszego połączenia SYN. Osiąga się to za pomocą mechanizmów śledzenia połączeń i stanu ("stateful inspection").
Ograniczając dozwoloną liczbę pakietów SYN-ACK na interwał czasu, wpływ ataku można znacznie złagodzić. To ograniczenie jest szczególnie przydatne dla pakietów SYN-ACK bez istniejącego powiązanego połączenia.
Monitorując ruch przychodzący i używając systemów, które automatycznie wykrywają wzorce i anomalie (np. systemów opartych na AI lub ML), ataki SYN-ACK Flood można szybko zidentyfikować i aktywować środki zaradcze, takie jak blackholing lub scrubbing.
Nasza "Tievolu PYRUS DDoS Protection" wykrywa SYN-ACK Flood na podstawie charakterystycznych anomalii pakietów w ruchu TCP. Poprzez śledzenie połączeń pakiety SYN-ACK, które pojawiają się poza prawidłowym nawiązaniem połączenia, mogą być skutecznie blokowane. Ochrona działa w pełni automatycznie i skaluje się zarówno przeciwko ukierunkowanym, jak i wysokovoluminowym atakom SYN-ACK Flood. Konfigurowalne progi i inteligentne mechanizmy filtrowania zapewniają, że legalny ruch nie jest zakłócany.
Alternatywnie klienci mogą aktywować dodatkową warstwę ochrony przed atakami TCP SYN-ACK Flood poprzez naszą Cloud Firewall. W Cloud Firewall można skonfigurować specyficzne reguły filtrowania TCP, które konkretnie przechwytują pakiety z flagami TCP SYN & ACK. Reguły te można również łączyć z różnymi mechanizmami ograniczania szybkości, aby ograniczyć liczbę przychodzących żądań. Ponadto możliwe jest rozszerzenie filtrów o blokady ASN lub geograficzne (geo-blocking), aby we wczesnym stadium zredukować podejrzany lub niepożądany ruch.
