Qu’est-ce qu’une attaque SYN flood ?
Le SYN flood TCP (alias SYN flood) est une forme d’attaque par déni de service distribué (DDoS) qui utilise une partie de la poignée de main tripartite TCP standard pour consommer les ressources du serveur ciblé et le rendre insensible.
En substance, lorsqu’il s’agit d’une attaque DDoS par SYN flood, l’attaquant envoie des connexions TCP plus rapidement que la machine ciblée ne peut les traiter, ce qui provoque une saturation du réseau.
La description de l’attaque : deux parties établissent une « poignée de main à trois » TCP standard ; l’échange se présente comme suit :
Le client fait une demande de connexion en envoyant un message SYN (synchronisation) au serveur.
Le serveur accuse réception en envoyant un message SYN-ACK (synchronisation-accusé de réception) au client.
Le client répond en envoyant un message ACK (accusé de réception) et la connexion est établie.
Dans une attaque par inondation SYN, un attaquant envoie plusieurs paquets SYN à chaque port du serveur ciblé en utilisant généralement une adresse IP alias. Le serveur, qui n’est pas conscient de la menace, est informé d’une série de tentatives de communication. Il répond à chaque demande par un paquet SYN ACK sur chaque port ouvert.
Le client malveillant ne transmet pas l’ACK souhaité ou dans le cas où l’adresse IP a été falsifiée et ne reçoit jamais le SYN ACK. Dans tous les cas, le serveur attaqué attend l’accusé de réception de son paquet SYN-ACK pendant un certain temps.
Pendant cette période, le serveur n’est pas en mesure de fermer la connexion par l’envoi d’un paquet RST, mais la connexion reste ouverte. Lorsque la connexion est terminée, la connexion est fermée et un nouveau paquet SYN est envoyé. Il en résulte une augmentation des connexions qui ne sont pas entièrement ouvertes. Les attaques SYN flood sont souvent appelées attaques « half-open ». Au fur et à mesure que les tables de débordement des connexions du serveur se remplissent et que le service est refusé aux utilisateurs légitimes, le serveur est bloqué et peut même s’arrêter ou tomber en panne.
Bien que l’inondation SYN « classique » décrite ci-dessus vise à vider les ports des réseaux, les paquets SYN peuvent également être utilisés dans les attaques DDoS, qui tentent de bloquer vos tuyaux avec de faux paquets pour provoquer une saturation du réseau. Le type de paquet n’est pas crucial. Mais les paquets SYN sont souvent utilisés car ils sont moins susceptibles d’être rejetés par défaut.
Méthodes d’atténuation
Bien que les nouveaux systèmes d’exploitation soient mieux à même de gérer les ressources et rendent moins difficile la surcharge des tables de connexion, les serveurs sont toujours sensibles aux attaques SYN flood.
Il existe de nombreuses méthodes courantes pour réduire les SYN floods, telles que :
Microblocs – les administrateurs peuvent attribuer des micro-enregistrements (aussi peu que 16 octets) dans la mémoire du serveur pour chaque demande SYN, au lieu d’un objet de connexion complet.
Les témoins SYN avec un hachage crypté, le serveur transmet sa réponse SYN-ACK avec le numéro de séquence (seqno) créé à partir de l’adresse IP du client ; le numéro de port, l’adresse IP, et éventuellement d’autres informations spécifiques. Si le client répond avec ce hachage, il est ajouté au paquet ACK. Le serveur vérifie l’ACK et alloue ensuite de la mémoire à la connexion.
Cookies RST : lors de la première demande faite par un client individuel, le serveur envoie délibérément un faux SYN-ACK. Le client envoie alors un paquet RST, qui avertit le serveur que quelque chose ne va pas. Si le paquet est accepté, le serveur saura que la demande a été légitime, il enregistre le client et autorise les connexions ultérieures.
Modification des piles – les administrateurs peuvent modifier les piles TCP pour réduire les effets du SYN flooding. Il peut s’agir de diminuer le temps nécessaire pour que la pile soit libérée de la mémoire allouée à la connexion ou d’un abandon sélectif des connexions.
Bien entendu, toutes les méthodes ci-dessus reposent sur la capacité du réseau cible à résister à des attaques DDoS volumétriques massives dont les volumes de trafic se mesurent en dizaines de gigabits (voire en centaines de gigabits) par seconde.
Un DDoS dépend de la technologie Anycast pour distribuer les requêtes DDoS entrantes à travers son réseau de centres d’épuration très puissants. Grâce à la puissance combinée du réseau mondial, Incapsula surpassera de manière rentable les ressources de l’attaquant et rendra l’attaque DDoS inutile. Incapsula peut être adapté à la demande, en fournissant suffisamment de ressources pour gérer les volumes les plus importants d’attaques DDoS.
Pour assurer la continuité de l’activité Pour assurer la continuité de l’activité, l’algorithme de filtrage examine en permanence toutes les demandes SYN entrantes et utilise les cookies SYN pour allouer des ressources aux utilisateurs légitimes. Cela garantit une défense transparente contre les attaques DDoS sans interruption, latence ou tout autre type d’interruption d’activité.
