What Is a SYN Flood Attack?

Un ataque de inundación SYN abusa de un componente particular dentro del handshake TCP de 3 vías: al enviar muchas solicitudes de inicio de conexión (SYN), el atacante obliga al servidor víctima a mantener un puerto abierto para cada conexión falsa. Esto provoca que los recursos del servidor se queden ocupados esperando a que termine el handshake, lo que finalmente provoca que el sistema deje de responder a los usuarios legítimos.

Solicite una demostración Check Point DDoS Protector

What Is a SYN Flood Attack?

¿Cómo funciona un ataque de inundación SYN?

Para entender cómo funciona un ataque de inundación SYN, examinemos el apretón de manos estándar TCP de tres vías.

  1. Cuando un cliente quiere conectar a un servidor específico, envía un paquete SYN, señalando su intención de iniciar la comunicación.
  2. El servidor responde con un paquete SYN-ACK, confirmando la recepción del SYN e indicando su disposición para completar la conexión
  3. El cliente responde con un ACK, completando el apretón de manos y estableciendo la conexión.

Todo este intercambio ocurre antes de que el dispositivo empiece a transferir nuevos paquetes de información.

Sin embargo, para abusar de este protocolo en un ataque por inundación SYN, el atacante obliga al servidor a mantener la conexión abierta simplemente reteniendo el ACK final.

Como resultado, cada solicitud SYN entrante requiere que el servidor asigne memoria y ranuras de conexión para conexiones que nunca se completan. Cuando el servidor se inunda con paquetes SYN abusivos, estos recursos se agotan rápidamente.

Esto significa que a los usuarios legítimos se les niega el acceso al servicio ya que el servidor queda incapaz de gestionar intentos adicionales de conexión.

Con el tiempo, esto puede llevar a una denegación total de servicio...

Más allá del impacto directo sobre los recursos del sistema, los ataques de inundación SYN pueden causar fracturas de tensión significativas en operaciones más amplias. Para las compañías con operaciones en línea o infraestructura crítica, estas interrupciones pueden provocar:

  • Pérdidas financieras
  • Daño reputacional
  • Fallos en infraestructuras críticas

Gracias a la facilidad con la que se pueden lanzar ataques de inundación SYN, es común verlos desplegar como parte de una estrategia de ataque más amplia y debilitar las defensas del objetivo, creando una combinación crítica de servicio interrumpido y exfiltración de datos.

Detección de inundaciones SYN

Detectar un ataque de inundación SYN requiere una supervisión cuidadosa del tráfico de red. Una de las formas más efectivas de detectar este tipo de ataque es monitorizando patrones de tráfico para identificar picos inusuales en la proporción de paquetes SYN respecto al número de handshakes completados.

Incluso herramientas básicas de monitorización de red como Wireshark ofrecen una forma de filtrar conexiones por paquetes SYN no reconocidos. El filtrado manual del tráfico también puede poner a los administradores en desventaja, ya que estos ataques deben prevenir antes de que el daño se produzca.

Por eso gran parte de la detección de ataques de inundación SYN se gestiona automáticamente mediante Sistemas de Intrusión y Detección (IDS).

Monitorizan los tipos y comportamientos normales de tráfico, y por tanto pueden detectar las anomalías estadísticas creadas por las inundaciones SYN en el último momento. Modelos menos avanzados pueden depender de la detección basada en firmas, donde se reconocen características de ataque predefinidas en el tráfico entrante.

Esto permite al sistema identificar y responder en tiempo real, lo que hace que una inundación SYN sea altamente detectable.

Opciones de mitigación de ataques por inundación SYN

El bloqueo basado en IP por sí solo no funcionará contra ataques de inundación SYN, ya que los atacantes son lo suficientemente cautelosos como para usar direcciones IP suplantadas, ocultando así el ataque tras la fachada de otro dispositivo.

Esta tampoco es la forma más avanzada de distribución por inundación SYN: las direcciones IP suplantadas pueden rastrear hasta la fuente a través de un proveedor de servicios de Internet. Si un atacante depende de una botnet para estas direcciones IP falsificadas, básicamente no hay forma de rastrear fácilmente el ataque hasta una fuente.

Para mitigar los ataques de inundación SYN, se pueden emplear varias estrategias, cada una diseñada para reducir la vulnerabilidad del servidor y mantener el servicio durante un ataque.

Cookies SYN

Uno de los métodos más empleados son las cookies SYN, una técnica que impide que el servidor asigne recursos para una conexión hasta que se complete todo el handshake TCP. En lugar de reservar memoria para cada solicitud SYN, el servidor codifica la información de estado de la conexión en el paquete SYN-ACK que envía al cliente.

Si el cliente responde con un ACK válido, el servidor verifica las cookies y completa la conexión.

Mayor retraso

Otro enfoque es aumentar el tamaño de la cola de backlog, permitiendo que el servidor gestione más conexiones incompletas a la vez. Aunque esto puede proporcionar un alivio temporal durante un ataque de inundación SYN de bajo nivel, no es una solución a largo plazo.

Al fin y al cabo, aún permite un ataque lo suficientemente grande como para abrumar al servidor.

Limitación de tasas

La limitación de velocidad es otra estrategia eficaz, que consiste en establecer un límite máximo en el número de paquetes SYN que el servidor puede procesar en un periodo de tiempo determinado.

Al controlar el flujo de las solicitudes de conexión entrantes, la limitación de velocidad evita que el servidor se vea abrumado por un aumento repentino de tráfico. De manera similar, reducir el número de reintentos SYN-ACK que permite el servidor también puede disminuir el tiempo que el servidor espera el ACK final antes de liberar recursos.

Esto permite al servidor liberar ranuras de conexión más rápido y seguir procesando nuevas solicitudes.

Balanceadores de carga

Para una protección a mayor escala, los balanceadores de carga o las arquitecturas de servidores distribuidos pueden ayudar a mitigar los efectos de una inundación SYN. Al distribuir el tráfico entrante entre varios servidores, los balanceadores de carga reducen la probabilidad de que un solo servidor se vea saturado.

Este enfoque no solo mejora la resiliencia frente a ataques de inundación SYN, sino que también mejora el rendimiento y la disponibilidad general del sistema.

Esto encaja bien con herramientas IPS más amplias, ya que pueden trasladar tráfico legítimo a servidores no afectados.

Elige prevención de ataques con Check Point

Check Point permite a las organizaciones adoptar un enfoque de prevención primero en toda su postura de seguridad de red. Su protección de red SandBlast protege contra una amplia gama de ciberataques, incluyendo:

  • Ataques de inundación SYN
  • ransomware
  • Trojans
  • Phishing attempts

Ofreciendo una integración fluida con la infraestructura existente, ofrece configuración con políticas totalmente automatizadas, garantizando una seguridad robusta sin comprometer la productividad o agilidad empresarial. Frente a los ataques por inundación SYN, Check Point ofrece alertas rápidas y mitigación automatizada, la estrategia de defensa multinivel que mantiene la resiliencia de la red incluso cuando se gestionan ataques bien financiados.

Descubre más y descubre cómo Check Point puede prevenir ataques de inundación SYN con una demostración.