Que sont les attaques DDoS SYN Flood ?

Q: Quel est l'objectif des attaques DDoS SYN Flood ?

Les attaques DDoS SYN flood peuvent entraîner des problèmes de performances importants pour les réseaux et les systèmes. En paralysant les serveurs et en les mettant hors ligne, les attaques SYN Flood peuvent rendre les services indisponibles pour les utilisateurs légitimes et entraîner des pertes de données. En mettant les serveurs hors ligne, les attaques SYN Flood empêchent les utilisateurs légitimes d'accéder aux applications, aux données et aux sites d'e-commerce. Par conséquent, les entreprises peuvent subir des pertes de ventes, une atteinte à leur réputation, des perturbations dans l'infrastructure critique et une perte de continuité des activités. Les attaques DDoS SYN Flood peuvent également servir de couverture à d'autres types d'attaques comme les ransomwares, aussi appelés « écrans de fumée ». En lançant une attaque SYN Flood, les pirates peuvent amener les équipes chargées de la sécurité et de l'atténuation des attaques DDoS à concentrer les ressources sur un domaine ou une stratégie, tandis que des acteurs malveillants ciblent une autre partie du système.

Comprendre les attaques DDoS SYN Flood

Une attaque par déni de service distribué SYN est un type d'attaque DDoS qui affecte le protocole TCP au niveau de la couche 4 du modèle d'interconnexion des systèmes ouverts (OSI) et qui tente de mettre hors ligne un terminal réseau, un service d'équilibrage de la charge, un terminal de gestion de session ou un serveur en l'inondant de demandes de connexion à ses ressources. Connue sous le nom d'« attaque semi-ouverte », l'attaque SYN Flood exploite une vulnérabilité commune dans l'établissement de liaisons TCP/IP pour submerger un serveur de connexions TCP, ce qui l'empêche de fournir un service au trafic et aux connexions légitimes. Ce type de cyberattaque peut provoquer la mise hors service des terminaux capables de maintenir des dizaines de millions de connexions. L'attaque SYN Flood TCP a été utilisée pour la première fois par des pirates au début des années 90, la plus célèbre étant réalisée par Kevin Mitnick, qui a usurpé une connexion TCP/IP pour une attaque DoS.

Comment fonctionnent les attaques SYN Flood ?

Une demande de connexion type entre un client légitime et un serveur implique une liaison TCP en trois étapes. Un client/utilisateur demande une connexion en envoyant un paquet de synchronisation (SYN) au serveur. Le serveur envoie alors un paquet d'accusés de réception de synchronisation (SYN-ACK) au client. Le client répond par un message d'accusé de réception (ACK) et la connexion est établie. Il existe d'autres « indicateurs » TCP comme RESET (RST), ainsi que des valeurs d'expiration prédéterminées que les clients et les serveurs ciblés peuvent se transmettre entre eux, mais à un niveau élevé, TCP est un protocole orienté connexion.

Lors des attaques SYN Flood, les pirates peuvent envoyer de manière répétée des paquets SYN à n'importe quel port d'un serveur, voire à tous les ports, généralement en utilisant une fausse adresse IP ou une adresse IP usurpée. Comme ces demandes ressemblent à des connexions TCP légitimes, le serveur répond à chaque demande avec un paquet SYN-ACK depuis chaque port ouvert demandé. Le paquet ACK final n'arrive jamais à destination et le serveur maintient un nombre de plus en plus élevé de connexions de port ouvert. Une fois tous les ports disponibles ouverts, le serveur ne peut plus fonctionner normalement et complique fortement la gestion du numéro de séquence TCP pour les utilisateurs réels.

Quelles sont les variantes des attaques SYN Flood ?

Les attaques SYN Flood peuvent être effectuées de trois manières :

Adresses IP non usurpées. Lorsque cette méthode est déployée, il est plus facile pour l'entreprise ciblée d'identifier l'attribution et de l'atténuer, mais y parvenir en toute sécurité représente un défi pour les experts en sécurité réseau et en cybersécurité.
Adresses IP usurpées. Dans cette approche, les pirates usurpent l'adresse IP source d'un serveur de confiance ou d'un terminal connecté à Internet. Il est donc plus compliqué de suivre les paquets et d'empêcher l'attaque.
Adresses IP distribuées. Cette forme d'attaque SYN Flood utilise un botnet pour envoyer des paquets malveillants à partir d'un réseau distribué de terminaux infectés qui peuvent utiliser leur propre adresse IP ou une adresse usurpée afin de lancer une attaque plus complexe, à plus grande échelle et plus difficile à atténuer.

Quel est l'objectif des attaques DDoS SYN Flood ?

Les attaques DDoS SYN Flood peuvent entraîner des problèmes de performances importants pour les réseaux et les systèmes. En paralysant les serveurs et en les mettant hors ligne, les attaques SYN Flood peuvent rendre les services indisponibles pour les utilisateurs légitimes et entraîner des pertes de données. En mettant les serveurs hors ligne, les attaques SYN Flood empêchent les utilisateurs légitimes d'accéder aux applications, aux données et aux sites d'e-commerce. Par conséquent, les entreprises peuvent subir des pertes de ventes, une atteinte à leur réputation, des perturbations dans l'infrastructure critique et une perte de continuité des activités.

Les attaques DDoS SYN Flood peuvent également servir de couverture à d'autres types d'attaques comme les ransomwares, aussi appelés « écrans de fumée ». En lançant une attaque SYN Flood, les pirates peuvent amener les équipes chargées de la sécurité et de l'atténuation des attaques DDoS à concentrer les ressources sur un domaine ou une stratégie, tandis que des acteurs malveillants ciblent une autre partie du système.

Comment atténuer les attaques SYN Flood ?

Les techniques courantes d'atténuation des attaques DDoS SYN Flood sont les suivantes :

Systèmes de détection d'intrusion (IDS) capables de détecter et de bloquer le trafic malveillant d'une attaque SYN Flood et d'autres attaques DDoS, si des adresses IP source non usurpées sont utilisées
Techniques de limitation de débit qui limitent le nombre de requêtes SYN ou de paquets SYN par seconde pouvant être envoyés à un serveur à tout moment
Configuration d'une file d'attente backlog plus volumineuse pour augmenter le nombre de connexions « semi-ouvertes » autorisées
Déploiement de solutions permettant de bénéficier d'une meilleure visibilité du réseau afin que les équipes de sécurité puissent visualiser et analyser le trafic provenant de différentes parties du réseau
Cookies SYN, qui utilisent le hachage cryptographique du paquet ACK pour vérifier les connexions avant d'attribuer des ressources de mémoire, c'est-à-dire des méthodes antiusurpation
Recyclage de la connexion semi-ouverte la plus ancienne afin de libérer de l'espace pour les nouvelles connexions et de garantir que les systèmes restent accessibles pendant les attaques Flood
Pare-feu capables de filtrer les paquets SYN illégitimes (mais ces derniers ont un coût élevé en matière de performances)
Atténuation des attaques DDoS dans le cloud

Bloquez les attaques SYN Flood avec Akamai

Akamai sécurise et fournit des expériences digitales pour les plus grandes entreprises du monde. En maintenant les décisions, les applications et les expériences au plus près des utilisateurs tout en éloignant les attaques et les menaces, nous permettons à nos clients et à leurs réseaux d'être rapides, intelligents et sécurisés.

Nos solutions de protection de bout en bout contre les attaques DoS et DDoS offrent une approche complète qui constitue la première ligne de défense. Grâce à des stratégies dédiées d'atténuation pour le réseau cloud, de DNS distribué et en bordure de l'Internet, nos technologies de protection contre les attaques DDoS empêchent les dommages collatéraux et les points de défaillance uniques afin de fournir à nos clients une résilience accrue, une capacité de nettoyage dédiée et une atténuation de meilleure qualité.

App & API Protector offre un ensemble complet de protections performantes et automatisées en fonction du client. Bien que cette solution propose certaines des fonctions d'automatisation de la sécurité des applications les plus avancées sur le marché, elle reste simple à utiliser. Son nouveau moteur de sécurité adaptatif et ses technologies fondamentales de pointe garantissent une protection contre les attaques DDoS, la sécurité des API, une atténuation des attaques de bots et un Web Application Firewall efficace, sans complexité excessive.

Prolexic bloque les attaques DDoS avec la défense la plus rapide et efficace à grande échelle. Offrant un accord de niveau de service (SLA) de protection immédiate contre les attaques DDoS, Prolexic réduit de manière proactive les services d'attaque et adapte les contrôles d'atténuation au trafic réseau pour bloquer les attaques instantanément. Un SOCC entièrement géré complète vos programmes de cybersécurité existants et vous aidera à réduire le délai de résolution grâce à des expériences éprouvées.

Edge DNS empêche les pannes DNS grâce à la plus grande plateforme en bordure de l'Internet, offrant aux entreprises l'assurance d'une disponibilité DNS garantie et permanente. Solution basée dans le cloud, Edge DNS garantit une disponibilité DNS 24 h/24, 7 j/7 tout en améliorant la réactivité et en protégeant contre les attaques DDoS les plus importantes.

Pourquoi les clients choisissent-ils Akamai ?

Akamai soutient et protège la vie en ligne. Les entreprises leaders du monde entier choisissent Akamai pour concevoir, diffuser et sécuriser leurs expériences digitales, et aident des milliards de personnes à vivre, travailler et jouer chaque jour. Akamai Connected Cloud, plateforme cloud massivement distribuée en bordure de l'Internet, rapproche vos applications et expériences des utilisateurs, tout en tenant les menaces à distance.

Produits connexes

Prolexic

Bloquez les attaques DDoS avec la meilleure défense à grande échelle.

Edge DNS

Faites confiance à un DNS hautement sécurisé pour des applications Web et des API toujours disponibles.

App & API Protector

Une sécurité tout-en-un et sans compromis des sites Web, des applications et des API.

Ressources supplémentaires

Défense contre les attaques DDoS dans un environnement de cloud hybride

Tous les services de protection contre les attaques DDoS ne sont pas identiques. Découvrez combien de fournisseurs de services cloud laissent à désirer et quels sont les signaux d'alerte.

Menaces DDoS dans la zone EMEA en 2024

Nos dernières études vous apportent les connaissances dont vous avez besoin pour mieux vous défendre contre les attaques DDoS en hausse dans la zone EMEA.

Télécharger le rapport

Que peut révéler une analyse du trafic DNS malveillant sur l'exposition au risque d'une entreprise ?

L'analyse sur la C2 de l'autoroute d'attaques révèle les attaquants de l'entreprise

Le DNS est l'une des plus anciennes infrastructures Web. Il est toutefois traversé par une quantité incroyable de trafic d'attaques. Ce dernier rapport présente les menaces les plus répandues et plus encore.

Télécharger le rapport