Un ataque de inundación SYN aprovecha una vulnerabilidad en el protocolo de enlace TCP/IP en un intento de interrumpir un servicio web.
Después de leer este artículo podrás:
Contenido relacionado
Ataque de inundación de DNS
Ataque de inundación HTTP
Ataque de inundación UDP
Malware
Ataque de inundación de ping (ICMP)
Suscríbase a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar enlace del artículo
Una inundación SYN (ataque medio abierto) es un tipo de ataque de denegación de servicio (DDoS) que intenta que un servidor no esté disponible para el tráfico legítimo consumiendo todos sus recursos disponibles. Al enviar repetidamente paquetes de solicitud de conexión inicial (SYN), el atacante puede sobrecargar todos los puertos disponibles en el servidor atacado, lo que hará que el dispositivo responda al tráfico legítimo muy lentamente o incluso que no responda en absoluto.
Los ataques de inundación SYN aprovechan el proceso de protocolo de enlace de la conexión TCP. En circunstancias normales, la conexión TCP exhibe tres procesos distintos para poder lograrse.
Para crear una denegación de servicio, el atacante aprovecha el hecho de que, después de que se ha recibido un paquete SYN inicial, el servidor responderá con uno o más paquetes SYN/ACK y esperará el paso final del protocolo de enlace. Así es como funciona:
En las redes, cuando un servidor deja una conexión abierta pero la máquina al otro lado de la conexión no lo hace, la conexión se considera medio abierta. En este tipo de ataque DDoS, el servidor atacado deja conexiones abiertas continuamente y espera que cada una de ellas cumpla el tiempo de espera antes de que los puertos vuelvan a estar disponibles. El resultado es que este tipo de ataque puede considerarse como un "ataque medio abierto".
Al usar un ataque de inundación SYN, un agente malicioso puede intentar crear una denegación de servicio en un dispositivo o servicio atacado con bastante menos tráfico que otros ataques DDoS. En lugar de ataques volumétricos, los cuales intentan saturar la infraestructura de la red que rodea al objetivo, los ataques SYN solo necesitan ser más grandes que el registro disponible dentro del sistema operativo del objetivo. Si el atacante logra determinar el tamaño del registro y cuánto tiempo queda abierta una conexión antes de que finalice el tiempo de espera, entonces podrá obtener los parámetros exactos que se necesitan para deshabilitar el sistema, por lo que podrá reducir el tráfico total hasta el mínimo necesario para crear una denegación de servicio.
La vulnerabilidad de una inundación SYN se conoce desde hace mucho tiempo y se han utilizado una gran cantidad de rutas de mitigación. Algunos enfoques incluyen:
Cada sistema operativo de un dispositivo atacado permitirá un cierto número de conexiones medio abiertas. Una respuesta al gran volumen de paquetes SYN es aumentar el número máximo de posibles conexiones medio abiertas que permitirá el sistema operativo. Para poder aumentar con éxito el backlog máximo, el sistema tiene reservar recursos de memoria adicionales para atender las nuevas solicitudes. Si el sistema no cuenta con memoria suficiente para gestionar el aumento del tamaño de la cola del backlog, el rendimiento del sistema se verá afectado negativamente, pero esto es preferible a una denegación de servicio.
Otra estrategia de mitigación consiste en sobrescribir la conexión medio abierta más antigua una vez se haya completado el backlog. Esta estrategia requiere que se puedan establecer en su totalidad las conexiones legítimas en menos tiempo del que necesita el backlog para llenarse de paquetes SYN maliciosos. Este tipo de defensa fracasa cuando se aumenta el volumen de ataque o si el backlog es demasiado pequeño para ser práctico.
Esta estrategia implica que el servidor cree una cookie. Para evitar el riesgo de que se caigan las conexiones cuando se haya completado el backlog, el servidor responde a cada solicitud de conexión con un paquete SYN-ACK, pero luego descarta la solicitud SYN del backlog, elimina la solicitud de la memoria y dejan el puerto abierto y preparado para una nueva conexión. Si la conexión es una solicitud legítima, y un paquete ACK final se devuelve desde la máquina del cliente al servidor, el servidor reconstruirá (con algunas limitaciones) la entrada de la cola del backlog de SYN. Aunque este esfuerzo de mitigación puede hacer perder algo de información acerca de la conexión TCP, es mejor que permitir la denegación de servicio a usuarios legítimos que sucederá tras un ataque.
Cloudflare mitiga este tipo de ataques parcialmente al ubicarse entre el servidor de destino y la inundación SYN. Cuando se crea la solicitud SYN inicial, Cloudflare controla el proceso del protocolo de enlace en la nube y retiene la conexión con el servidor objetivo hasta que el protocolo de enlace TCP se haya completado. Esta estrategia le quita al servidor de destino el costo en recursos de mantener las conexiones con los paquetes SYN falsos y lo traspasa a la red Anycast de Cloudflare. Más información acerca de cómo funciona la protección contra DDoS de Cloudflare.
Primeros pasos
Acerca de los ataques DDoS
Ataques DDoS