Akamai potencia y protege la vida online. Las empresas líderes de todo el mundo eligen Akamai para crear, proteger y ofrecer sus experiencias digitales, ayudando así a millones de personas a vivir, trabajar y jugar cada día. Akamai Connected Cloud, plataforma de nube distribuida de forma masiva en el Edge, acerca las aplicaciones y las experiencias a los usuarios y mantiene las amenazas más alejadas.
Comprender los ataques DDoS de inundación SYN
Un ataque distribuido de denegación de servicio de SYN es un tipo de ataque DDoS que afecta al protocolo TCP en la capa 4 del modelo OSI y que intenta tomar un dispositivo de red, un balanceador de carga, un dispositivo de administración de sesiones o un servidor sin conexión inundándolo con solicitudes para conectarse a sus recursos. Un ataque de inundación SYN, conocido como "ataque semiabierto", ataca una vulnerabilidad común en la negociación TCP/IP para abrumar a un servidor con conexiones TCP, lo que evita que proporcione servicio al tráfico y a las conexiones legítimas. Este tipo de ciberataque puede bloquear los dispositivos capaces de mantener decenas de millones de conexiones. Los hackers utilizaron por primera vez la inundación TCP SYN a principios de la década de 1990, siendo la más famosa la que llevó a cabo Kevin Mitnick, quien falsificó una conexión TCP/IP para un ataque DoS.
¿Cómo funcionan los ataques de inundación SYN?
Una solicitud de conexión típica entre un cliente y un servidor legítimos implica una negociación TCP en tres pasos. Un cliente/usuario solicita una conexión mediante el envío de un paquete de sincronización (SYN) al servidor. El servidor reconoce la solicitud mediante el envío de un paquete de confirmación de sincronización (SYN-ACK) al cliente. El cliente responde con un mensaje de confirmación (ACK) y se establece una conexión. Hay otros "indicadores" de TCP como RESET (RST) y valores de tiempo de espera predeterminados que los clientes y los servidores atacados pueden transmitirse entre sí, pero, en un nivel alto, TCP es un protocolo orientado a la conexión.
En los ataques de inundación SYN, los atacantes pueden enviar paquetes SYN repetidamente a cada puerto de un servidor, normalmente mediante una dirección IP falsa o una dirección IP falsificada, o a un solo puerto. Debido a que estas solicitudes parecen ser conexiones TCP legítimas, el servidor responde a cada solicitud con un paquete SYN-ACK de cada puerto abierto solicitado. El paquete ACK final nunca llega y el servidor mantiene una cantidad creciente de conexiones de puerto abierto. Una vez que se han abierto todos los puertos disponibles, el servidor ya no puede funcionar con normalidad y hace que sea extremadamente difícil gestionar el número de secuencias TCP para usuarios reales.
¿Cuáles son las variedades de los ataques de inundación SYN?
Los ataques de inundación SYN se pueden realizar de tres maneras:
- Direcciones IP no falsas. Cuando se implementa este método, es más fácil para la empresa atacada identificar la atribución y mitigarla, pero hacerlo de forma segura es un desafío para los expertos en seguridad de la red y ciberseguridad.
Direcciones IP falsas. En este enfoque, los atacantes falsifican la dirección IP de origen de un servidor de confianza o un dispositivo conectado a Internet, lo que dificulta el rastreo de los paquetes y la prevención del ataque.
Direcciones IP distribuidas. Esta forma de ataque de inundación SYN utiliza un botnet para enviar paquetes maliciosos desde una red distribuida de dispositivos infectados que pueden usar su propia dirección IP o una dirección falsa para iniciar un ataque más complejo, de mayor escala y más difícil de mitigar.
¿Para qué han sido diseñados los ataques DDoS de inundación SYN?
Los ataques DDoS de inundación SYN pueden causar problemas de rendimiento significativos para las redes y los sistemas. Al dañar los servidores y desconectarlos, los ataques de inundación SYN pueden hacer que los servicios no estén disponibles para los usuarios legítimos, lo que causa pérdidas de datos. Mediante la conexión de los servidores, los ataques de inundación SYN evitan que los usuarios legítimos accedan a aplicaciones, datos y sitios de comercio electrónico. Como resultado, las organizaciones pueden experimentar pérdidas de ventas, daños a la reputación, alteraciones en la infraestructura crítica y una pérdida de la continuidad del negocio.
Los ataques DDoS de inundación SYN también se pueden utilizar como una cobertura para otros tipos de ataques, como el ransomware, también conocido como "cortina de humo". Al iniciar un ataque de inundación SYN, los atacantes pueden hacer que los equipos de seguridad y la mitigación de DDoS centren recursos de un área o estrategia, mientras que los actores maliciosos atacan otra parte del sistema.
¿Cómo se pueden mitigar los ataques de inundación SYN?
Las técnicas comunes para mitigar los ataques DDoS de inundación SYN incluyen:
- Sistemas de detección de intrusiones (IDS) que pueden detectar y bloquear el tráfico malicioso de un ataque de inundación SYN y otros ataques DDoS si se utilizan IP de origen no falsas
- Técnicas de limitación de frecuencia que limitan la cantidad de solicitudes SYN o paquetes SYN por segundo que se pueden enviar a un servidor a la vez
- Configuración de una cola acumulada más grande para aumentar la cantidad de conexiones "semiabiertas" permitidas
- Implementación de soluciones para una mayor visibilidad de la red que permite a los equipos de seguridad ver y analizar el tráfico de diferentes partes de la red
- Cookies de SYN que utilizan el hash criptográfico en el paquete ACK para verificar las conexiones antes de asignar los recursos de memoria, también conocidos como métodos antifalsificación
- Reciclaje de la conexión semiabierta más antigua a fin de crear espacio para nuevas conexiones y garantizar que los sistemas permanezcan accesibles durante los ataques de inundación
- Firewalls que pueden filtrar los paquetes de SYN ilegítimos (pero estos vienen a un coste de rendimiento)
- Mitigación de DDoS en la nube
Detener los ataques de inundación SYN con Akamai
Akamai garantiza experiencias digitales seguras a las empresas más importantes del mundo. Al acercar las decisiones, aplicaciones y experiencias a los usuarios, así como al alejar los ataques y las amenazas, permitimos que nuestros clientes y sus redes sean rápidas, inteligentes y seguras.
Nuestras soluciones integrales de protección contra DDoS y DoS proporcionan un enfoque holístico que sirve como primera línea de defensa. Gracias a las estrategias de mitigación específicas en la nube, de DNS distribuido y en el Edge, nuestras tecnologías antiDDoS evitan daños colaterales y puntos únicos de fallo para proporcionar a nuestros clientes una mayor resistencia, capacidad de barrido específica y mayor calidad de mitigación.
App & API Protector proporciona un conjunto integral de potentes protecciones con automatización centrada en el cliente. Si bien esta solución ofrece algunas de las aplicaciones de automatización de seguridad más avanzadas disponibles en la actualidad, sigue siendo fácil de usar. Un nuevo motor de seguridad adaptable y las tecnologías fundamentales líderes del sector facilitan protección contra DDoS, seguridad de API, mitigación de bots y WAF, en una solución fácil de usar.
Prolexic detiene los ataques DDoS con la protección más rápida y eficaz a escala. Con un SLA de cero segundos para la defensa contra DDoS, Prolexic reduce proactivamente los ataques a los servicios y personaliza los controles de mitigación relativos al tráfico de red para bloquear las amenazas al instante. Disponer de un SOCC totalmente gestionado complementa sus programas de ciberseguridad existentes y le ayudará a aumentar el tiempo de resolución con experiencias probadas en el sector.
Edge DNS evita las interrupciones del DNS con la mayor plataforma de Edge, lo que permite a las organizaciones contar con una disponibilidad del DNS continua y garantizada. Edge DNS, una solución basada en la nube, garantiza la disponibilidad del DNS ininterrumpida al tiempo que mejora la capacidad de respuesta y la defensa contra los ataques DDoS de mayor tamaño.