Attaque SYN flood

L’inondation TCP SYN est un type d’attaque par déni de service distribué (DDoS) qui utilise une partie de la négociation TCP à trois voies normale pour consommer les ressources du serveur cible et le rendre insensible.

Essentiellement, avec un DDoS SYN flood, le criminel envoie des demandes de connexion TCP plus rapidement que la machine cible ne peut traiter, saturant le réseau.

Description de l’attaque

Lorsque le client et le serveur établissent une « triple prise de contact » TCP normale, l’échange se déroule comme suit :

Le client demande une connexion en envoyant un message SYN (sync) au serveur.
Le serveur accuse réception en envoyant un message SYN-ACK (Sync Confirmation) au client.
Le client répond par un message ACK (confirmation) et la connexion est établie.

Dans une inondation SYN, un attaquant envoie des paquets SYN répétés à chaque port du serveur cible, souvent en utilisant une adresse IP usurpée. Le serveur, inconscient de l’attaque, reçoit de nombreuses demandes de communication apparemment légitimes. Il répond à chaque tentative avec un paquet SYN-ACK sur chaque port ouvert.

Le client malveillant n’envoie pas l’ACK attendu, ou si l’adresse IP est usurpée, il ne reçoit jamais SYN-ACK. Dans tous les cas, le serveur attaqué attendra quelque temps la confirmation de son paquet SYN-ACK.

Pendant ce temps, le serveur ne peut pas fermer la connexion en envoyant un paquet RST et la connexion reste ouverte. Un autre paquet SYN arrive avant de mettre fin à la connexion. Cela laisse un nombre croissant de connexions semi-ouvertes – et les inondations SYN sont également connues sous le nom d’attaques « semi-ouvertes ». Finalement, lorsque les tables de débordement de connexion au serveur deviennent pleines, les services pour les clients légitimes sont rejetés et le serveur peut même se bloquer ou se bloquer.

Alors que l’inondation SYN « classique » décrite ci-dessus tente d’épuiser les ports réseau, les paquets SYN peuvent également être utilisés dans les attaques DDoS qui tentent de boucher les tuyaux avec de faux paquets pour atteindre la saturation du réseau. Le type d’emballage n’a pas d’importance. Cependant, les paquets SYN sont souvent utilisés car, par défaut, ils sont les moins susceptibles d’être rejetés.

Méthode d’atténuation
Bien que les systèmes d’exploitation modernes gèrent mieux les ressources et rendent le débordement de la table de connexion plus difficile, les serveurs sont toujours vulnérables aux attaques SYN Flood.

Il existe de nombreuses techniques couramment utilisées pour atténuer les attaques par inondation SYN, notamment:

Les administrateurs de micro-blocs peuvent allouer des micro-enregistrements (minimum 16 octets) pour chaque requête SYN entrante dans la mémoire du serveur, au lieu d’allouer des micro-enregistrements pour l’objet de connexion complet.

Cookie SYN: le serveur utilise un hachage crypté pour envoyer sa réponse SYN-ACK avec un numéro de séquence (seqno) construit à partir de l’adresse IP du client, du numéro de port et éventuellement d’autres identifiants uniques pour information. Lorsque le client répond, ce hachage sera inclus dans le paquet ACK. Le serveur vérifie l’ACK avant d’allouer de la mémoire pour la connexion.

Cookie RST: Lors de la première requête d’un client donné, le serveur envoie intentionnellement un SYN-ACK non valide. Cela devrait amener le client à générer un paquet RST qui indique au serveur que quelque chose s’est mal passé. Si ce paquet est reçu, le serveur sait que la demande est légitime, enregistre le client et accepte les connexions entrantes ultérieures.

Modification de la pile – L’administrateur peut modifier la pile TCP pour réduire l’impact de l’inondation SYN. Cela peut inclure la réduction du temps d’attente jusqu’à ce que la pile libère la mémoire allouée pour la connexion ou la suppression sélective des connexions entrantes.

De toute évidence, toutes les méthodes ci-dessus reposent sur la capacité du réseau cible à gérer des attaques DDoS à grande échelle, et son trafic est mesuré en dizaines de gigabits (voire en centaines de gigabits) par seconde.

DDoS utilise la technologie Anycast pour équilibrer les demandes DDoS entrantes dans son réseau mondial de centres de nettoyage haute performance. En utilisant les capacités complètes de son réseau mondial, Incapsula peut effectivement dépasser les ressources de l’attaquant en termes de coût, rendant ainsi les attaques DDoS inefficaces. Le service est conçu pour évoluer à la demande et fournir des ressources suffisantes pour faire face au plus grand volume d’attaques DDoS.

Pour assurer la continuité des activités, l’algorithme de filtrage utilise des cookies SYN pour analyser en continu les demandes SYN entrantes afin d’allouer de manière sélective des ressources aux visiteurs légitimes. Cela peut atténuer de manière transparente les attaques DDoS sans provoquer de temps d’arrêt, de retards ou d’autres interruptions d’activité.


7 réflexions au sujet de “Attaque SYN flood”

  1. Hi! This post could not be written any better! Reading this post reminds me of my previous room mate! He always kept talking about this. I will forward this page to him. Fairly certain he will have a good read. Thanks for sharing!

    Répondre
  2. Very good blog!
    Do you have any suggestions for aspiring writers?

    I’m planning to start my own blog soon but
    I’m a little
    lost on everything. Would you advise starting with a free platform like WordPress
    or go for a paid option?
    There are so many choices out there that I’m completely confused ..

    Any recommendations? Kudos!

    Répondre

Laisser un commentaire