Was ist ein SYN-Flood-Angriff?
Ein SYN-Flood, auch als TCP-SYN-Flood bekannt, ist eine Art von Denial-of-Service-Angriff (DoS) oder Distributed-Denial-of-Service-Angriff (DDoS) , bei dem eine große Anzahl von SYN-Anfragen an einen Server gesendet wird, um ihn mit offenen Verbindungen zu überlasten.
Ein SYN-Flood, manchmal auch als halboffener Angriff bezeichnet, ist ein Angriff auf Netzwerkebene, der einen Server mit Verbindungsanfragen bombardiert, ohne auf die entsprechenden Bestätigungen zu reagieren. Die daraus resultierende große Anzahl offener TCP-Verbindungen verbraucht die Ressourcen des Servers und verdrängt praktisch den legitimen Datenverkehr. Dadurch wird das Öffnen neuer legitimer Verbindungen unmöglich und die ordnungsgemäße Funktion des Servers für bereits verbundene autorisierte Benutzer wird erschwert oder unmöglich.
Nahezu jede Organisation mit einer öffentlich zugänglichen Website ist für diese Art von Angriff anfällig. Wenn eine SYN-Flut nicht rasch erkannt und behoben wird, kann sie einen Server rasch überlasten, die Serverantworten drastisch verlangsamen und alle anderen Verbindungen verhindern. Dadurch wird der Server effektiv offline geschaltet, sodass legitimen Benutzern der Dienst verweigert wird und sie den Zugriff auf Anwendungen und Daten verlieren oder der E-Commerce nicht möglich ist. Die Folgen können ein Verlust der Geschäftskontinuität, eine Störung kritischer Infrastrukturen, Umsatzeinbußen oder ein beschädigter Ruf sein. Für manche Organisationen, etwa im Gesundheitswesen, kann der Schaden durch den Verlust des Datenzugriffs lebensbedrohlich sein.
Untersuchungen von F5 Labs zeigen, dass SYN-Floods jedes Jahr eine der häufigsten Arten volumetrischer DoS-Angriffe sind. Sie können in Kombination mit anderen Angriffsarten oder als Nebelwand für diese verwendet werden, darunter Ransomware-Angriffe oder Versuche, Daten zu stehlen oder Schadsoftware einzuschleusen.
Jede Client-Server-Konversation beginnt mit einem standardisierten Drei-Wege-Handshake. Der Client sendet ein SYN-Paket, der Server antwortet mit einem SYN-ACK und die TCP-Verbindung wird hergestellt. Bei einem SYN-Flood-Angriff sendet der Client eine überwältigende Anzahl von SYN-Anfragen und antwortet absichtlich nie auf die SYN-ACK-Nachrichten des Servers.
Dadurch bleiben die Verbindungen des Servers geöffnet und er wartet auf weitere Kommunikation vom Client. Alle diese Versuche werden in der TCP-Verbindungstabelle des Servers verfolgt, bis die Tabelle schließlich voll ist und alle weiteren Verbindungsversuche von beliebigen Quellen blockiert werden. Dies führt zu einem Verlust der Geschäftskontinuität und des Datenzugriffs.
SYN-Floods werden häufig von Bots ausgeführt, die sich von gefälschten IP-Adressen aus verbinden, um die Identifizierung und Abwehr des Angriffs zu erschweren. Botnetze können SYN-Floods als Distributed-Denial-of-Service-Angriffe (DDoS) starten.
Mit den DDoS-Schutzlösungen von F5 können Sie sicherstellen, dass Angriffe auf das Netzwerk Ihre Server- und App-Ebenen nicht lahmlegen – oder schlimmer noch, abschalten – und so Ihre Kunden vergraulen. Unsere Lösungen können einen möglichen SYN-Flood-Angriff erkennen und Abwehrmaßnahmen ergreifen, um die Verbindungstabelle zu schützen und gleichzeitig legitimen Verbindungen den Zugriff auf das geschützte Netzwerk zu ermöglichen. Bei dieser Art der Verteidigung erhalten die SYN-Anfragen des Angreifers Antworten, sodass dieser denkt, der Angriff funktioniere. Allerdings erreicht die Verbindungstabelle nie ihre Kapazitätsgrenze, weil nur gültige Verbindungsanfragen Plätze in der Verbindungstabelle beanspruchen.
