Una inundación SYN es una forma de ataque de denegación de servicio en el que un atacante inicia rápidamente una conexión a un servidor sin finalizar la conexión. El servidor tiene que gastar recursos esperando conexiones a medio abrir, que pueden consumir suficientes recursos para que el sistema no responda al tráfico legítimo. [1] [2]
El paquete que el atacante envía es el SYN
paquete, una parte de TCP 's de tres vías utilizado para establecer una conexión. [3]
Detalles técnicos
Cuando un cliente intenta iniciar una conexión TCP a un servidor, el cliente y el servidor intercambian una serie de mensajes que normalmente se ejecutan así:
- El cliente solicita una conexión enviando un mensaje
SYN
( sincronizar ) al servidor. - El servidor reconoce esta solicitud
SYN-ACK
devolviéndola al cliente. - El cliente responde con un
ACK
y se establece la conexión.
Esto se denomina protocolo de enlace de tres vías TCP y es la base de cada conexión establecida mediante el protocolo TCP.
Un ataque de inundación SYN funciona al no responder al servidor con el ACK
código esperado . El cliente malintencionado puede simplemente no enviar el esperado ACK
, o falsificando la dirección IP de origen en el SYN
, hacer que el servidor envíe el SYN-ACK
a una dirección IP falsificada, que no enviará un ACK
porque "sabe" que nunca envió un SYN
.
El servidor esperará el reconocimiento durante algún tiempo, ya que la simple congestión de la red también podría ser la causa de la falta ACK
. Sin embargo, en un ataque, las conexiones semiabiertas creadas por el cliente malintencionado unen recursos en el servidor y pueden eventualmente exceder los recursos disponibles en el servidor. En ese momento, el servidor no puede conectarse a ningún cliente, ya sea legítimo o no. Esto efectivamente niega el servicio a clientes legítimos. Algunos sistemas también pueden funcionar mal o bloquearse cuando otras funciones del sistema operativo carecen de recursos de esta manera.
Contramedidas
Hay una serie de contramedidas bien conocidas enumeradas en RFC 4987 que incluyen:
- Filtración
- Aumento de la cartera de pedidos
- Reducción del temporizador SYN-RECEIVED
- Reciclaje del TCP medio abierto más antiguo
- Caché SYN
- Cookies SYN
- Enfoques híbridos
- Cortafuegos y proxies
Ver también
Referencias
- ^ "Asesoramiento CERT CA-1996-21 TCP SYN inundación y ataques de suplantación de IP" (PDF) . Instituto de Ingeniería de Software de la Universidad Carnegie Mellon . Archivado desde el original el 14 de diciembre de 2000 . Consultado el 18 de septiembre de 2019 .
- ^ El servicio Panix de Nueva York está paralizado por un ataque de piratas informáticos , New York Times, 14 de septiembre de 1996
- ^ "¿Qué es un ataque DDoS?" . Cloudflare.com . Cloudflare . Consultado el 4 de mayo de 2020 .