Cybersécurité

Définition attaque SYN Flood

Qu’est-ce qu’une attaque SYN flood

L’inondation TCP SYN (alias SYN flood) est un type d’attaque par déni de service distribué (DDoS) qui exploite une partie de la poignée de main tripartite TCP normale pour consommer les ressources du serveur ciblé et le rendre insensible.

Essentiellement, avec SYN flood DDoS, le délinquant envoie des demandes de connexion TCP plus rapidement que la machine ciblée ne peut les traiter, ce qui provoque une saturation du réseau.

Description de l’attaque
Lorsqu’un client et un serveur établissent une « poignée de main à trois » TCP normale, l’échange ressemble à ceci :

Le client demande une connexion en envoyant un message SYN (synchronisation) au serveur.
Le serveur accuse réception en envoyant un message SYN-ACK (synchronize-acknowledge) au client.
Le client répond par un message ACK (acknowledgement) et la connexion est établie.
Dans une attaque par inondation SYN, l’attaquant envoie des paquets SYN répétés à chaque port du serveur ciblé, souvent en utilisant une fausse adresse IP. Le serveur, qui n’est pas au courant de l’attaque, reçoit de multiples demandes, apparemment légitimes, pour établir la communication. Il répond à chaque tentative par un paquet SYN-ACK sur chaque port ouvert.

Le client malveillant n’envoie pas l’ACK attendu ou, si l’adresse IP est usurpée, ne reçoit jamais le SYN-ACK. Dans tous les cas, le serveur attaqué attendra l’accusé de réception de son paquet SYN-ACK pendant un certain temps.

Pendant ce temps, le serveur ne peut pas fermer la connexion en envoyant un paquet RST, et la connexion reste ouverte. Avant que la connexion ne se termine, un autre paquet SYN arrive. Cela laisse un nombre de plus en plus important de connexions semi-ouvertes – et les attaques SYN flood sont également appelées attaques « semi-ouvertes ». Finalement, à mesure que les tables de débordement de connexions du serveur se remplissent, le service aux clients légitimes est refusé, et le serveur peut même tomber en panne ou tomber en panne.

Alors que l’inondation SYN « classique » décrite ci-dessus tente d’épuiser les ports du réseau, les paquets SYN peuvent également être utilisés dans les attaques DDoS qui tentent d’obstruer vos tuyaux avec de faux paquets pour atteindre la saturation du réseau. Le type de paquet n’est pas important. Néanmoins, les paquets SYN sont souvent utilisés car ils sont les moins susceptibles d’être rejetés par défaut.

Méthodes d’atténuation
Bien que les systèmes d’exploitation modernes soient mieux équipés pour gérer les ressources, ce qui rend plus difficile le débordement des tables de connexion, les serveurs restent vulnérables aux attaques SYN flood.

Il existe un certain nombre de techniques courantes pour atténuer les attaques SYN flood, notamment :

Micro-blocs – les administrateurs peuvent allouer un micro-enregistrement (aussi peu que 16 octets) dans la mémoire du serveur pour chaque demande SYN entrante au lieu d’un objet de connexion complet.

Cookies SYN : à l’aide d’un hachage cryptographique, le serveur envoie sa réponse SYN-ACK avec un numéro de séquence (seqno) construit à partir de l’adresse IP du client, du numéro de port et éventuellement d’autres informations d’identification uniques. Lorsque le client répond, ce hachage est inclus dans le paquet ACK. Le serveur vérifie l’ACK et n’alloue qu’ensuite la mémoire pour la connexion.

Cookies RST : lors de la première demande d’un client donné, le serveur envoie intentionnellement un SYN-ACK invalide. Cela devrait amener le client à générer un paquet RST, qui indique au serveur que quelque chose ne va pas. Si ce paquet est reçu, le serveur sait que la demande est légitime, enregistre le client et accepte les connexions entrantes suivantes.

Modification de la pile – les administrateurs peuvent modifier les piles TCP pour atténuer l’effet des inondations SYN. Il peut s’agir de réduire le délai d’attente jusqu’à ce qu’une pile libère la mémoire allouée à une connexion, ou de supprimer sélectivement les connexions entrantes.

Évidemment, toutes les méthodes mentionnées ci-dessus reposent sur la capacité du réseau cible à gérer des attaques DDoS volumétriques à grande échelle, avec des volumes de trafic mesurés en dizaines de gigabits (et même en centaines de gigabits) par seconde.

Une DDoS s’appuie sur la technologie Anycast pour équilibrer les requêtes DDoS entrantes à travers son réseau mondial de centres de scrubbing très performants. Grâce à la capacité combinée de son réseau mondial, Incapsula peut dépasser de manière rentable les ressources de l’attaquant, rendant l’attaque DDoS inefficace. Le service est conçu pour évoluer à la demande, offrant des ressources suffisantes pour faire face aux attaques DDoS volumétriques les plus importantes.

Pour assurer la continuité des activités, l’algorithme de filtrage analyse en permanence les requêtes SYN entrantes, en utilisant des cookies SYN pour allouer sélectivement les ressources aux visiteurs légitimes. Cela permet une atténuation transparente des attaques DDoS, sans temps d’arrêt, latence ou toute autre perturbation de l’activité.

Ecrire un commentaire