A Akamai é uma empresa de cibersegurança e cloud que potencializa e protege negócios online. Nossas soluções de segurança líderes de mercado, inteligência avançada contra ameaças e equipe de operações globais oferecem defesa em profundidade para garantir a segurança de dados e aplicativos empresariais em todos os lugares. As abrangentes soluções de computação em nuvem da Akamai oferecem desempenho e acessibilidade na plataforma mais distribuída do mundo. Empresas globais confiam na Akamai para obter a confiabilidade, escala e experiência líderes do setor de que precisam para expandir seus negócios com confiança.
Entenda os ataques DDoS de inundação SYN
Um ataque distribuído de negação de serviço de SYN é um tipo de ataque DDoS direcionado ao protocolo TCP na Camada 4 do modelo OSI, com o objetivo de interromper as atividades de um dispositivo de rede, balanceador de carga, dispositivo de gerenciamento de sessões ou servidor através da inundação de solicitações para se conectar a seus recursos. Conhecido como "ataque meio-aberto", um ataque de inundação SYN se aproveita de uma vulnerabilidade no handshake TCP/IP para sobrecarregar um servidor com conexões TCP, impedindo que ele forneça serviços para tráfego e conexões legítimas. Esse tipo de ataque cibernético pode derrubar dispositivos capazes de manter dezenas de milhões de conexões. A inundação SYN de TCP foi aplicada pela primeira vez por hackers no início dos anos 90. O caso mais conhecido foi de Kevin Mitnick, que falsificou uma conexão TCP/IP para um ataque DOS.
Como funcionam os ataques de inundação SYN?
Uma solicitação de conexão comum entre um cliente e um servidor legítimo passa por um handshake TCP de três vias. Um cliente/usuário solicita uma conexão enviando um pacote de sincronização (SYN) para o servidor. O servidor reconhece a solicitação enviando um pacote de confirmação de sincronização (SYN-ACK) ao cliente. O cliente responde com uma mensagem de confirmação (ACK), e uma conexão é estabelecida. Há outros "sinais" de TCP, como RESET (RST), e valores de tempo limite predeterminados que os clientes e os servidores de destino podem transmitir entre si, mas, basicamente, o TCP é um protocolo voltado para conexão.
Em ataques de inundação SYN, os invasores podem enviar pacotes SYN repetidamente para todas as portas de um servidor, geralmente falsificando endereços IP, ou para uma mesma porta. Como essas solicitações parecem conexões TCP legítimas, o servidor responde a cada solicitação com um pacote SYN-ACK para cada porta aberta solicitada. O pacote ACK final nunca chega e o servidor mantém um número crescente de conexões de porta aberta. Quando todas as portas disponíveis encontram-se abertas, o servidor não consegue mais funcionar normalmente, o que torna extremamente difícil gerenciar o número de sequência TCP de usuários reais.
Quais são as variedades de ataques de inundação SYN?
Os ataques de inundação SYN podem ocorrer de três maneiras:
- Endereços IP não falsificados. Quando esse método é usado, é mais fácil para a empresa atacada identificar a atribuição e mitigá-la, mas fazer isso de forma segura é um desafio para especialistas em cibersegurança e segurança de rede.
Endereços IP falsificados. Nessa abordagem, os invasores falsificam o endereço IP de origem de um dispositivo conectado à Internet ou servidor confiável, dificultando o rastreamento dos pacotes e o combate ao ataque.
Endereços IP distribuídos. Essa forma de ataque de inundação SYN usa um botnet para enviar pacotes maliciosos de uma rede distribuída de dispositivos infectados. Esses dispositivos podem usar o próprio endereço IP ou um endereço falsificado para iniciar um ataque mais complexo em uma escala maior e mais difícil de mitigar.
Quais os objetivos de um ataque DDoS de inundação SYN?
Os ataques DDoS de inundação SYN podem causar problemas de desempenho significativos em redes e sistemas. Ao paralisar servidores e interromper suas atividades, os ataques de inundação SYN podem deixar os serviços indisponíveis para usuários legítimos e causar perda de dados. Ao interromper as atividades de servidores, os ataques de inundação SYN impedem que usuários legítimos acessem aplicações, dados e websites de comércio eletrônico. Para as organizações, isso pode gerar perda de vendas, reputação prejudicada, interrupção na infraestrutura crítica e perda de continuidade dos negócios.
Os ataques DDoS de inundação SYN também podem ser usados para acobertar outros tipos de ataques, como ransomware, também conhecido como "cortina de fumaça". Ao iniciar um ataque de inundação SYN, os invasores podem fazer com que as equipes de segurança e a mitigação de DDoS concentrem recursos em uma área ou estratégia, enquanto os agentes mal-intencionados atacam outra parte do sistema.
Como os ataques de inundação SYN podem ser mitigados?
As técnicas comuns para mitigar ataques DDoS de inundação SYN incluem:
- IDSs (sistemas de detecção de invasões) que detectam e bloqueiam o tráfego mal-intencionado de um ataque de inundação SYN e outros ataques DDoS, se IPs de origem não falsificados são usados
- Técnicas de limitação de taxas que limitam o número de solicitações ou pacotes SYN por segundo que podem ser enviados a um servidor por vez
- Configuração de uma fila de backlog maior para aumentar o número de conexões "meio-abertas" permitidas
- Implantação de soluções para maior visibilidade da rede, permitindo que as equipes de segurança monitorem e analisem o tráfego de diferentes partes da rede
- Cookies SYN que usam hash criptográfico no pacote ACK para verificar conexões antes de alocar recursos de memória, também conhecidos como métodos "anti-spoofing"
- Reciclagem da conexão meio-aberta mais antiga para criar espaço para novas conexões e garantir que os sistemas permaneçam acessíveis durante ataques de inundação
- Firewalls que filtram pacotes SYN ilegítimos (entretanto, afetam o desempenho)
- Mitigação de DDoS na nuvem
Interrompa os ataques de inundação SYN com a Akamai
A Akamai protege e entrega experiências digitais para as maiores empresas do mundo. Mantemos decisões, apps e experiências mais acessíveis aos usuários, assim como evitamos ataques e ameaças, para que nossos clientes e suas redes sejam rápidos, inteligentes e seguros.
Nossas soluções completas de proteção contra DDoS e DoS fornecem uma abordagem holística que serve como a primeira linha de defesa. Com edge dedicada, DNS (Sistema de Nomes de Domínio) distribuído e estratégias de mitigação de nuvem de rede, nossas tecnologias anti-DDoS evitam danos colaterais e pontos únicos de falha para fornecer aos nossos clientes maior resiliência, capacidade de depuração dedicada e maior qualidade de mitigação.
O App & API Protector fornece um conjunto holístico de proteções avançadas com automação focada no cliente. Embora essa solução ofereça a mais avançada automação de segurança de aplicações disponível atualmente, ela permanece simples de usar. Um novo mecanismo de segurança adaptável e as principais tecnologias líderes do setor permitem a proteção contra DDoS, segurança de APIs, mitigação de bots e um Web Application Firewall em uma solução fácil de usar.
O Prolexic interrompe ataques de DDoS com a defesa mais rápida e eficaz em escala. Ao oferecer um SLA de zero segundo para defesa contra DDoS, o Prolexic reduz proativamente os serviços de ataque e personaliza os controles de atenuação para o tráfego de rede para bloquear ataques instantaneamente. Ter um SOCC totalmente gerenciado complementa seus programas de cibersegurança existentes e ajudará a aumentar seu tempo de resolução com experiências comprovadas pelo setor.
O Edge DNS impede interrupções de DNS com a maior plataforma de edge, permitindo que as organizações contem com disponibilidade de DNS garantida e ininterrupta. Uma solução baseada em nuvem, o Edge DNS garante disponibilidade de DNS 24 horas por dia, 7 dias por semana, ao mesmo tempo em que melhora a capacidade de resposta e a defesa contra os maiores ataques DDoS.