A sostegno e protezione della vita online c'è sempre Akamai. Le principali aziende al mondo scelgono Akamai per creare, offrire e proteggere le loro experience digitali, aiutando miliardi di persone a vivere, lavorare e giocare ogni giorno. Akamai Connected Cloud, una piattaforma edge e cloud ampiamente distribuita, avvicina le app e le experience agli utenti e allontana le minacce.
Descrizione degli attacchi SYN flood di tipo DDoS
Un attacco SYN di tipo DDoS (Distributed Denial-of-Service) sfrutta il protocollo TCP sul livello 4 del modello OSI per tentare di disconnettere un dispositivo in rete, un servizio di bilanciamento del carico, un dispositivo per la gestione della sessione o un server sovraccaricandolo con richieste di connessione alle sue risorse. Noto come "attacco semiaperto", un attacco SYN flood sfrutta una vulnerabilità comune nell'handshake TCP/IP per sovraccaricare un server con connessioni TCP, impedendo al dispositivo di fornire il servizio previsto al traffico e alle connessioni di tipo legittimo. Questo tipo di cyberattacco può arrestare dispositivi in grado di gestire decine di milioni di connessioni. L'attacco SYN flood che sfrutta il protocollo TCP è stato usato per la prima volta agli inizi del 1990 dagli hacker, di cui il più famoso è stato Kevin Mitnick, che ha falsificato una connessione TCP/IP per sferrare un attacco DOS.
Come funzionano gli attacchi SYN flood?
Una tipica richiesta di connessione tra un server e un client di natura legittima implica l'utilizzo di un handshake TCP a tre vie. Un client/utente richiede una connessione inviando un pacchetto SYN (sincronizzazione) al server. Il server riconosce la richiesta inviando un pacchetto SYN-ACK (riconoscimento sincronizzazione) al client. Il client risponde con un messaggio ACK (riconoscimento) e la connessione viene stabilita. Esistono altri flag TCP come RESET (RST) e valori di timeout predefiniti che i client e i server presi di mira possono trasmettersi l'un l'altro, ma, ad un livello elevato, il protocollo TCP è orientato alla connessione.
Negli attacchi SYN flood, i criminali possono inviare ripetutamente pacchetti SYN ad ogni porta di un server, di solito utilizzando un indirizzo IP fittizio o falso, oppure ad una sola porta. Poiché queste richieste sembrano simili alle connessioni TCP legittime, il server risponde ad ogni richiesta con un pacchetto SYN-ACK da ogni porta aperta a cui è stata inviata la richiesta. Il pacchetto ACK finale non arriva mai e il server mantiene un numero crescente di connessioni tramite le porte aperte. Una volta aperte tutte le porte disponibili, il server non può più funzionare normalmente e diventa estremamente difficile per gli utenti reali gestire il numero della sequenza TCP.
Quali sono le varietà degli attacchi SYN flood?
Gli attacchi SYN flood possono venire sferrati in tre modi:
- Tramite indirizzi IP non falsificati. Quando viene utilizzato questo metodo, per l'azienda presa di mira è più facile identificare l'attribuzione dell'attacco e mitigarlo, ma le relative modalità di azione rappresentano una sfida per gli esperti di sicurezza di rete e cybersicurezza.
Tramite indirizzi IP falsificati. Con questo approccio, i criminali falsificano l'indirizzo IP sorgente di un server o un dispositivo connesso a Internet considerati attendibili, rendendo più difficile tracciare i pacchetti e impedire l'attacco.
Tramite indirizzi IP distribuiti. Questa forma di attacco SYN flood utilizza una botnet per inviare pacchetti dannosi da una rete distribuita di dispositivi infettati che possono usare il proprio indirizzo IP o un altro indirizzo falsificato per sferrare un attacco più complesso, più vasto e più difficile da mitigare.
Qual è lo scopo degli attacchi SYN flood di tipo DDoS?
Gli attacchi SYN flood di tipo DDoS possono causare seri problemi alle performance di reti e sistemi. Paralizzando e disconnettendo i server, gli attacchi SYN flood possono rendere i servizi non disponibili per gli utenti legittimi e causare perdite di dati. Disconnettendo i server, gli attacchi SYN flood impediscono agli utenti legittimi di accedere ad applicazioni, dati e siti di e-commerce. Di conseguenza, le organizzazioni possono subire perdite di vendite, danni alla reputazione, malfunzionamento delle infrastrutture critiche e interruzione della continuità operativa.
Gli attacchi SYN flood di tipo DDoS possono anche essere usati come copertura per nascondere altri tipi di attacchi, quali i ransomware, ossia utilizzandoli come cortina di fumo. Sferrando un attacco SYN flood, i criminali possono forzare i team addetti alla sicurezza e le operazioni di mitigazione degli attacchi DDoS a focalizzare le risorse su un'area o una strategia, mentre i malintenzionati attaccano un'altra parte del sistema.
In che modo è possibile mitigare gli attacchi SYN flood?
Tra le più comuni tecniche di mitigazione degli attacchi SYN flood di tipo DDoS, figurano le seguenti:
- Sistemi di rilevamento delle intrusioni (IDS) che possono rilevare e bloccare il traffico dannoso proveniente da un attacco SYN flood e da altri attacchi DDoS, se non vengono utilizzati IP di origine non falsificati
- Tecniche di limitazione della velocità con cui viene limitato il numero di richieste o pacchetti SYN al secondo che è possibile inviare al server ogni volta
- Configurazione di una coda di backlog maggiore per incrementare il numero delle connessioni "semiaperte" che sono consentite
- Distribuzione di soluzioni per una migliore visibilità della rete che consente ai team addetti alla sicurezza di vedere e analizzare il traffico proveniente da diverse parti della rete
- I cookie SYN che utilizzano l'hashing crittografico nel pacchetto ACK per verificare le connessioni prima dell'allocazione della risorse di memoria, detti anche metodi anti-spoofing
- Riciclaggio delle connessioni semiaperte meno recenti per creare spazio per nuove connessioni e garantire che i sistemi rimangano accessibili durante gli attacchi flood
- Firewall in grado di escludere i pacchetti SYN illegittimi (tuttavia, a discapito delle performance)
- Mitigazione degli attacchi DDoS sul cloud
Fermate gli attacchi SYN flood con Akamai
Akamai garantisce experience digitali sicure per le più grandi aziende a livello mondiale. Mantenendo decisioni, app ed experience più vicino agli utenti (e allontanando sempre più attacchi e minacce), possiamo garantire ai nostri clienti e alle loro reti di essere veloci, intelligenti e sicuri.
Le nostre soluzioni di protezione dagli attacchi DDoS e DoS end-to-end forniscono un approccio olistico che funge da prima linea di difesa. Con strategie dedicate per la mitigazione di attacchi sull'edge, DNS distribuito e su cloud, le nostre tecnologie anti-DDoS impediscono danni collaterali e single point of failure per fornire ai nostri clienti una maggiore resilienza, una capacità di scrubbing dedicata e una migliore qualità di mitigazione.
App & API Protector offre un set olistico di potenti sistemi di protezione, incentrati sul cliente per offrire il massimo livello di automazione. Offrendo alcune delle funzionalità di automazione più sofisticate presenti oggi sul mercato della sicurezza, questa soluzione rimane comunque semplice da utilizzare. Un nuovo motore di sicurezza adattiva e tecnologie leader del settore offrono protezione dagli attacchi DDoS, sicurezza delle API, mitigazione dei bot e una soluzione WAF (Web Application Firewall) in un prodotto facile da usare.
Prolexic blocca gli attacchi DDoS con la difesa più rapida ed efficace su larga scala. Con uno SLA immediato per la difesa dagli attacchi DDoS, Prolexic riduce proattivamente gli attacchi e consente di personalizzare i controlli di mitigazione sul traffico di rete per bloccarli all'istante. Il centro SOCC completamente gestito completa i vostri programmi di cybersicurezza esistenti e vi aiuterà a migliorare i tempi di risoluzione dei problemi grazie alla sua consolidata esperienza nel settore.
Edge DNS previene le interruzioni del DNS con la piattaforma edge più grande del mondo, consentendo alle organizzazioni di fare affidamento sulla totale continuità del servizio. Soluzione basata su cloud, Edge DNS garantisce 24 ore su 24 e 7 giorni su 7 la disponibilità del DNS, migliorando la velocità di risposta e assicurando la protezione dagli attacchi DDoS più aggressivi.