What Is a SYN Flood Attack?

Bei einem SYN-Flood-Angriff wird eine bestimmte Komponente des TCP-3-Wege-Handshakes ausgenutzt: Durch das Senden zahlreicher Verbindungsaufbau-Anfragen (SYN) zwingt der Angreifer den Server des Opfers dazu, für jede gefälschte Verbindung einen Port offen zu halten. Dies führt dazu, dass Serverressourcen durch das Warten auf den Abschluss des Handshakes gebunden werden, was schließlich dazu führt, dass das System für legitime Benutzer nicht mehr reagiert.

Demo anfordern Check Point DDoS Protector

What Is a SYN Flood Attack?

Wie funktioniert ein SYN-Flood-Angriff?

Um zu verstehen, wie ein SYN-Flood-Angriff funktioniert, betrachten wir den standardmäßigen TCP-Drei-Wege-Handschlag.

  1. Wenn ein Client eine Verbindung zu einem bestimmten Server beenden möchte, sendet er ein SYN-Paket und signalisiert damit seine Absicht, die Kommunikation aufzunehmen.
  2. Der Server antwortet mit einem SYN-ACK-Paket, bestätigt damit den Empfang des SYN-Pakets und signalisiert seine Bereitschaft, die Verbindung herzustellen.
  3. Der Client antwortet mit einer ACK-Bestätigung, womit der Handshake abgeschlossen und die Verbindung hergestellt wird.

Dieser gesamte Datenaustausch findet statt, bevor das Gerät mit der Übertragung neuer Datenpakete beginnt.

Um dieses Protokoll jedoch bei einem SYN-Flood-Angriff auszunutzen, zwingt der Angreifer den Server dazu, die Verbindung offen zu halten, indem er einfach das letzte ACK zurückhält.

Folglich muss der Server für jede eingehende SYN-Anfrage Speicher und Verbindungsslots für Verbindungen reservieren, die nie zustande kommen. Wenn der Server mit missbräuchlichen SYN-Paketen überflutet wird, sind diese Ressourcen schnell erschöpft.

Dies bedeutet, dass legitimen Nutzern der Zugriff auf den Dienst verweigert wird, da der Server nicht mehr in der Lage ist, zusätzliche Verbindungsversuche zu bewältigen.

Im Laufe der Zeit kann dies zu einer vollständigen Dienstverweigerung führen…

Über die direkten Auswirkungen auf die Systemressourcen hinaus können SYN-Flood-Angriffe erhebliche Belastungsbrüche im gesamten System verursachen. Für Unternehmen mit Online-Betrieb oder kritischer Infrastruktur können diese Störungen zu Folgendem führen:

  • Finanzielle Verluste
  • Reputationsschaden
  • Ausfälle kritischer Infrastrukturen

Da SYN-Flood-Angriffe so einfach durchzuführen sind, werden sie häufig als Teil einer umfassenderen Angriffsstrategie eingesetzt, um die Abwehrmechanismen des Ziels zu schwächen – wodurch eine kritische Kombination aus gestörtem Dienst und Datenexfiltration entsteht.

SYN-Flood-Erkennung

Die Erkennung eines SYN-Flood-Angriffs erfordert eine sorgfältige Überwachung des Netzwerkverkehrs. Eine der effektivsten Methoden zur Erkennung eines solchen Angriffs besteht darin, die Verkehrsmuster zu überwachen, um ungewöhnliche Spitzenwerte im Verhältnis von SYN-Paketen zur Anzahl der abgeschlossenen Handshakes zu identifizieren.

Selbst einfache Netzwerküberwachungstools wie Wireshark bieten eine Möglichkeit, Verbindungen anhand nicht bestätigter SYN-Pakete zu filtern. Auch die manuelle Filterung des Datenverkehrs kann Administratoren in eine schwierige Lage bringen, da diese Angriffe verhindert werden müssen, bevor Schaden entsteht.

Aus diesem Grund wird die Erkennung vieler SYN-Flood-Angriffe automatisch von Intrusion-Detection-Systemen (IDS) übernommen.

Sie überwachen normale Verkehrsarten und -verhaltensweisen und können daher die durch SYN-Floods verursachten statistischen Anomalien rechtzeitig erkennen. Weniger fortschrittliche Modelle setzen möglicherweise auf signaturbasierte Erkennung, bei der vordefinierte Angriffsmerkmale im eingehenden Datenverkehr erkannt werden.

Dadurch kann das System in Echtzeit reagieren und eine SYN-Flood-Attacke ist sehr gut erkennbar.

Optionen zur Minderung von SYN-Flood-Angriffen

Eine alleinige IP-basierte Blockierung ist gegen SYN-Flood-Angriffe nicht wirksam, da Angreifer vorsichtig genug sind, gefälschte IP-Adressen zu verwenden – und somit den Angriff hinter der Fassade eines anderen Geräts zu verbergen.

Dies ist nicht die ausgefeilteste Form der SYN-Flood-Verbreitung – gefälschte IP-Adressen können über einen Internetdienstanbieter bis zur Quelle zurückverfolgt werden. Wenn ein Angreifer für diese gefälschten IP-Adressen auf ein Botnetz zurückgreift , gibt es praktisch keine Möglichkeit, den Angriff einfach auf seine Quelle zurückzuverfolgen.

Zur Minderung von SYN-Flood-Angriffen können verschiedene Strategien eingesetzt werden, die jeweils darauf abzielen, die Schwachstelle des Servers zu reduzieren und den Dienst während eines Angriffs aufrechtzuerhalten.

SYN-Cookies

Eine der am häufigsten verwendeten Methoden sind SYN-Cookies. Diese Technik verhindert, dass der Server Ressourcen für eine Verbindung zuweist, bis der gesamte TCP-Handshake abgeschlossen ist. Anstatt für jede SYN-Anfrage Speicherplatz zu reservieren, kodiert der Server die Statusinformationen der Verbindung in das SYN-ACK-Paket, das er an den Client sendet.

Wenn der Client mit einer gültigen Bestätigung (ACK) antwortet, überprüft der Server die Cookies und stellt die Verbindung her.

Erhöhter Auftragsbestand

Ein anderer Ansatz besteht darin, die Größe der Backlog-Warteschlange zu erhöhen, wodurch der Server mehr unvollständige Verbindungen gleichzeitig bearbeiten kann. Dies kann zwar bei einem SYN-Flood-Angriff geringer Intensität vorübergehend Abhilfe schaffen, ist aber keine langfristige Lösung.

Letztendlich ermöglicht es immer noch einen ausreichend großen Angriff, um den Server zu überlasten.

Ratenbegrenzung

Eine weitere effektive Strategie ist die Ratenbegrenzung. Dabei wird eine maximale Grenze für die Anzahl der SYN-Pakete festgelegt, die der Server in einem bestimmten Zeitraum verarbeiten kann.

Durch die Steuerung des Flusses eingehender Verbindungsanfragen verhindert die Ratenbegrenzung, dass der Server durch einen plötzlichen Anstieg des Datenverkehrs überlastet wird. Ebenso kann durch die Reduzierung der Anzahl der vom Server zugelassenen SYN-ACK-Wiederholungsversuche die Wartezeit des Servers auf die endgültige Bestätigung (ACK) vor der Freigabe von Ressourcen minimiert werden.

Dadurch kann der Server Verbindungsplätze schneller freigeben und die Bearbeitung neuer Anfragen fortsetzen.

Lastverteiler

Für einen umfassenderen Schutz können Load Balancer oder verteilte Serverarchitekturen dazu beitragen, die Auswirkungen einer SYN-Flood abzumildern. Durch die Verteilung des eingehenden Datenverkehrs auf mehrere Server verringern Load Balancer die Wahrscheinlichkeit, dass ein einzelner Server überlastet wird.

Dieser Ansatz verbessert nicht nur die Widerstandsfähigkeit gegen SYN-Flood-Angriffe, sondern steigert auch die Gesamtleistung und Verfügbarkeit des Systems.

Dies passt gut zu umfassenderen IPS-Tools, da diese den legitimen Datenverkehr auf nicht betroffene Server umleiten können.

Setzen Sie auf Angriffsprävention mit Check Point

Check Point ermöglicht es Unternehmen, einen präventionsorientierten Ansatz in ihrer Netzwerk-Sicherheitsstrategie zu verfolgen. Der Schutz SandBlast -Netzwerks wehrt eine Vielzahl von Cyberangriffen ab, darunter:

  • SYN-Flood-Angriffe
  • Ransomware
  • TROJANER
  • Phishing attempts

Es bietet eine nahtlose Integration in die bestehende Infrastruktur und ermöglicht die Konfiguration mit vollautomatisierten Richtlinien, wodurch robuste Sicherheit gewährleistet wird, ohne die Produktivität oder Agilität des Unternehmens zu beeinträchtigen. Angesichts von SYN-Flood-Angriffen bietet Check Point schnelle Warnmeldungen und automatisierte Gegenmaßnahmen – eine mehrschichtige Verteidigungsstrategie, die die Netzwerkstabilität auch bei gut finanzierten Angriffen aufrechterhält.

Erfahren Sie mehr und entdecken Sie in einer Demo, wie Check Point SYN-Flood-Angriffe verhindern kann.