В результате легитимные пользователи перестают получать доступ к сервису.
Как устроена атака SYN Flood
Для установки TCP-соединения используется трехэтапная схема:
- Клиент отправляет SYN.
- Сервер отвечает SYN-ACK.
- Клиент подтверждает соединение через ACK.
После этого соединение считается установленным.
Во время атаки злоумышленник посылает на сервер множество SYN-запросов, но не завершает соединения. После получения SYN сервер резервирует место под новое соединение и ждет подтверждение ACK. Очередь полуоткрытых TCP-сессий заполняется, и сервер перестает принимать подключения от реальных пользователей.
Атакующий часто подменяет IP-адреса через спуфинг, чтобы усложнить фильтрацию и скрыть источник атаки. Подобные атаки активно используют ботнеты, зараженные IoT-устройства и арендованные DDoS-платформы.
Методы защиты
Один из главных механизмов защиты — SYN cookies. Технология позволяет серверу не хранить состояние соединения до получения корректного ACK.
Дополнительно используют:
- ограничение частоты запросов (rate limiting);
- межсетевой экран с отслеживанием состояния (stateful firewall);
- anti-DDoS системы;
- фильтрацию spoofed traffic;
- DPI-анализ TCP-сессий.
В крупных инфраструктурах SYN Flood обычно фильтруется еще на уровне провайдера или edge-маршрутизаторов.
Подробнее о том, как устроены атаки и как оператору связи защититься от них, мы описали в статье Атака SYN Flood: зоны ответственности и практическая защита.
