Akamai unterstützt und schützt das digitale Leben. Führende Unternehmen weltweit setzen bei der Erstellung, Bereitstellung und beim Schutz ihrer digitalen Erlebnisse auf Akamai. So unterstützen wir täglich Milliarden von Menschen in ihrem Alltag, bei der Arbeit und in ihrer Freizeit. Akamai Connected Cloud, eine stark verteilte Edge- und Cloudplattform, bringt Anwendungen und Erlebnisse näher an die Nutzer und hält Bedrohungen fern.
SYN-Flood-DDoS-Angriffe verstehen
Ein verteilter SYN-DDoS-Angriff ist eine Art von DDoS-Angriff, der das TCP-Protokoll auf Layer 4 des OSI-Modells beeinflusst. Er versucht, ein Netzwerkgerät, einen Load Balancer, ein Sitzungsverwaltungsgerät oder einen Server auf offline zu schalten, indem er das entsprechende Gerät mit Anfragen, eine Verbindung zu seinen Ressourcen herzustellen, überschwemmt. Der als „halboffener Angriff“ bekannte SYN-Flood-Angriff nutzt eine häufige Schwachstelle im TCP/IP-Handshake aus, um einen Server mit TCP-Verbindungen zu überlasten und zu verhindern, dass er legitimem Traffic und legitimen Verbindungen Services bereitstellt. Diese Art von Cyberangriff kann Geräte, die Millionen Verbindungen aufrechterhalten, lahmlegen. Der TCP-SYN-Flood-Angriff wurde erstmals Anfang der 1990er von Hackern genutzt. Am bekanntesten war Kevin Mitnick, der für einen DoS-Angriff eine TCP/IP-Verbindung manipuliert hatte.
Wie funktionieren SYN-Flood-Angriffe?
Eine typische Verbindungsanfrage zwischen einem legitimen Client und einem Server beinhaltet einen Drei-Wege-TCP-Handshake. Ein Client/Nutzer fordert eine Verbindung an, indem er ein SYN-Paket (Synchronize-Paket) an den Server sendet. Der Server bestätigt die Anfrage, indem er ein SYN-ACK-Paket (Synchronize-Acknowledge-Paket) an den Client sendet. Der Client antwortet mit einer ACK-Nachricht (Acknowledge-Nachricht), und es wird eine Verbindung hergestellt. Es gibt andere TCP-„Flags“ wie RESET (RST) und vorgegebene Timeout-Werte, die Clients und Zielserver aneinander übertragen können, aber auf übergeordneter Ebene ist TCP ein verbindungsorientiertes Protokoll.
Bei SYN-Flood-Angriffen können Angreifer wiederholt SYN-Pakete an jeden Port eines Servers oder an einen beliebigen Port senden. In der Regel verwenden Sie dafür eine falsche oder manipulierte IP-Adresse. Da diese Anfragen wie legitime TCP-Verbindungen erscheinen, antwortet der Server auf jede Anfrage mit einem SYN-ACK-Paket von jedem angefragten offenen Port. Das endgültige ACK-Paket kommt nie an, und der Server unterhält eine wachsende Anzahl von Open-Port-Verbindungen. Sobald alle verfügbaren Ports geöffnet wurden, kann der Server nicht mehr normal arbeiten und es wird für ihn extrem schwierig, die TCP-Sequenznummer echter Nutzer zu verwalten.
Welche Arten von SYN-Flood-Angriffen gibt es?
SYN-Flood-Angriffe können auf drei Arten durchgeführt werden:
- Nicht manipulierte IP-Adressen. Wenn diese Methode eingesetzt wird, ist es für das Zielunternehmen einfacher, die Verteilung zu erkennen und abzuwehren. Dies sicher durchzuführen, bleibt für Netzwerk- und Cybersicherheitsexperten jedoch eine Herausforderung.
Manipulierte IP-Adressen. Bei diesem Ansatz täuschen Angreifer die Quell-IP-Adresse eines vertrauenswürdigen Servers oder mit dem Internet verbundenen Geräts vor. Dadurch wird es schwieriger, die Pakete zu verfolgen und den Angriff zu verhindern.
Verteilte IP-Adressen. Diese Form des SYN-Flood-Angriffs verwendet ein Botnet, um schädliche Pakete aus einem verteilten Netzwerk infizierter Geräte zu senden. Die Geräte verwenden entweder ihre eigene IP-Adresse oder eine manipulierte Adresse, um einen Angriff zu starten, der komplexer und umfangreicher ist und schwerer abgewehrt werden kann.
Was soll mit SYN-Flood-DDoS-Angriffen erreicht werden?
SYN-Flood- DDoS-Angriffe können erhebliche Performance-Probleme für Netzwerke und Systeme verursachen. Wenn Server lahmgelegt werden, können SYN-Flood-Angriffe bewirken, dass die Services für legitime Nutzer nicht verfügbar sind, und so zu Datenverlust führen. Wenn Server offline sind, verhindern SYN-Flood-Angriffe, dass legitime Nutzer auf Anwendungen, Daten und E-Commerce-Websites zugreifen können. Dies kann für Unternehmen Umsatzeinbußen, Reputationsschäden, Unterbrechungen der kritischen Infrastruktur und einem Verlust der Geschäftskontinuität bedeuten.
SYN-Flood-DDoS-Angriffe können auch als Tarnung für andere Arten von Angriffen wie z. B. Ransomware verwendet werden. Durch den Start eines SYN-Flood-Angriffs können Angreifer erreichen, dass Sicherheitsteams und DDoS-Abwehr-Ressourcen sich auf einen Bereich oder eine Strategie konzentrieren, obwohl der tatsächliche Angriff einen anderen Teil des Systems im Visier hat.
Wie können SYN-Flood-Angriffe abgewehrt werden?
Zu den gängigen Methoden zur Abwehr von SYN-Flood-DDoS-Angriffen gehören:
- Intrusion Detection Systems (IDS), die schädlichen Traffic bei einem SYN-Flood-Angriff und anderen DDoS-Angriffen erkennen und blockieren können, wenn keine manipulierten Quell-IPs verwendet werden
- Techniken zur Begrenzung der Anzahl von SYN-Anfragen oder SYN-Paketen pro Sekunde, die zu einem beliebigen Zeitpunkt an einen Server gesendet werden können
- Konfigurieren einer größeren Backlog-Warteschlange, um die mögliche Anzahl der „halb geöffneten“ Verbindungen zu erhöhen
- Bereitstellung von Lösungen für eine bessere Netzwerktransparenz, die es Sicherheitsteams ermöglichen, den Traffic aus verschiedenen Teilen des Netzwerks zu sehen und zu analysieren
- SYN-Cookies, die auf kryptografisches Hashing im ACK-Paket setzen, um Verbindungen vor der Zuweisung von Speicherressourcen zu überprüfen (auch bekannt als Maßnahmen zum Manipulationsschutz)
- Recycling der ältesten halboffenen Verbindung, um Platz für neue Verbindungen zu schaffen und sicherzustellen, dass die Systeme auch bei Flood-Angriffen zugänglich bleiben
- Firewalls, die unzulässige SYN-Pakete herausfiltern (diese gehen allerdings zulasten der Performance)
- Cloud-DDoS-Abwehr
Stoppen Sie SYN-Flood-Angriffe mit Akamai
Akamai stellt sichere digitale Erlebnisse für die größten Unternehmen der Welt bereit. Indem wir Entscheidungen, Anwendungen und Erlebnisse besser an die Bedürfnisse der Nutzer anzupassen – und Angriffe und Bedrohungen besser abzuwehren – machen wir die Netzwerke unserer Kunden schnell, intelligent und sicher.
Unser End-to-End-DDoS- und DoS-Schutz bietet einen ganzheitlichen Ansatz, der als erste Verteidigungslinie dient. Mit Strategien zu dedizierter Edge, verteiltem DNS und Netzwerk-Cloud-Strategien verhindern unsere Anti-DDoS-Technologien Kollateralschäden und Single Points of Failure. So bieten wir unseren Kunden eine höhere Ausfallsicherheit, dedizierte Scrubbing-Kapazität und eine hochwertige Abwehr von Risiken.
App & API Protector bietet einen ganzheitlichen Satz leistungsstarker Schutzmaßnahmen mit kundenorientierter Automatisierung. Diese Lösung bietet einige der fortschrittlichsten Automatisierungslösungen für die Anwendungssicherheit, die derzeit auf dem Markt erhältlich sind, ist aber dennoch einfach zu bedienen. Eine neue adaptive Sicherheits-Engine und branchenführende Kerntechnologien ermöglichen DDoS-Schutz, API-Sicherheit, Bot-Abwehr und eine Web Application Firewall in einer nutzerfreundlichen Lösung.
Prolexic stoppt DDoS-Angriffe jeder Größe mit schneller, hocheffektiver Abwehr. Prolexic bietet ein Null-Sekunden-SLA für die DDoS-Abwehr, reduziert proaktiv Angriffsservices und passt die Risikominderungskontrollen an den Netzwerk-Traffic an, um Angriffe sofort zu blockieren. Ein vollständig verwaltetes SOCC ergänzt Ihre bestehenden Cybersicherheitsprogramme und hilft Ihnen, die Zeit bis zur Lösung durch bewährte Nutzererlebnisse zu erhöhen.
Edge DNS verhindert DNS-Ausfälle mit der größten Edge-Plattform, damit Unternehmen sich auf eine garantierte, unterbrechungsfreie DNS-Verfügbarkeit verlassen können. Edge DNS ist eine cloudbasierte Lösung, die täglich rund um die Uhr die Verfügbarkeit von DNS gewährleistet sowie gleichzeitig die Reaktionsfähigkeit verbessert und vor den größten DDoS-Angriffen schützt.