¿Qué es un ataque de inundación de SYN?
Una inundación SYN, también conocida como inundación TCP SYN, es un tipo de ataque de denegación de servicio (DoS) o de denegación de servicio distribuido (DDoS) que envía cantidades masivas de solicitudes SYN a un servidor para saturarlo con conexiones abiertas.
Una inundación de SYN, a veces conocida como un ataque medio abierto, es un ataque a nivel de red que bombardea un servidor con solicitudes de conexión sin responder a los correspondientes acuses de recibo. El gran número de conexiones TCP abiertas resultante consume los recursos del servidor para básicamente desplazar el tráfico legítimo, lo que hace imposible abrir nuevas conexiones legítimas y dificulta o imposibilita el funcionamiento correcto del servidor para los usuarios autorizados que ya están conectados.
Prácticamente cualquier organización con un sitio web de cara al público es vulnerable a este tipo de ataque. Si una inundación de SYN no se detecta y trata enseguida, puede abrumar rápidamente a un servidor y hacer que se retrasen notablemente las respuestas del servidor y se impidan el resto de conexiones. Por tanto, el servidor estará fuera de línea y a los usuarios legítimos se les negará el servicio, con la consecuente pérdida de acceso a las aplicaciones y los datos, o la incapacidad de realizar el comercio electrónico correspondiente. Los resultados pueden incluir la discontinuidad de la actividad para el negocio, la interrupción de la infraestructura crítica, la pérdida de ventas y el daño a la reputación. Para algunas organizaciones, como las del sector sanitario, la incapacidad de acceder a los datos puede tener consecuencias mortales.
La investigación de F5 Labs sugiere que las inundaciones de SYN son uno de los tipos más comunes de ataques volumétricos de DoS cada año. Se pueden poner en práctica junto con otros tipos de ataques o como distracción para que estos últimos tengan éxito, incluyendo ataques de rescate o intentos de robo de datos o implantación de malware.
Toda conversación cliente-servidor comienza con un saludo regulado de tres partes. El cliente envía un paquete SYN, el servidor responde con un SYN-ACK, y se establece la conexión TCP. En un ataque de inundación de SYN, el cliente envía una cantidad masiva de solicitudes SYN y nunca responde a los mensajes SYN-ACK del servidor.
Esto hace que el servidor se quede conexiones abiertas esperando comunicación por parte del cliente. Cada una de estas conexiones se rastrea en la tabla de conexiones TCP del servidor y, finalmente, la tabla se llena y se bloquea todo intento posterior de conexión de cualquier fuente. El resultado es la discontinuidad del negocio y del acceso a los datos.
Las inundaciones SYN son frecuentemente realizadas por bots que se conectan desde direcciones IP falsificadas para dificultar la identificación y mitigación del ataque. Las botnets pueden lanzar inundaciones SYN como ataques de denegación de servicio distribuidos (DDoS) .
Las soluciones de protección DDoS de F5 ayudan a garantizar que los ataques contra la red no paralicen (o peor aún, apaguen) sus servidores y niveles de aplicaciones, alejando a sus clientes. Nuestras soluciones pueden reconocer que puede estar ocurriendo un ataque de inundación SYN y tomar medidas defensivas de mitigación para proteger la tabla de conexión mientras permiten que las conexiones legítimas accedan a la red protegida. Con este tipo de defensa, las solicitudes SYN del atacante obtienen respuestas, por lo que piensan que el ataque está funcionando, pero la tabla de conexión nunca alcanza su capacidad porque solo las solicitudes de conexión válidas conservan espacios en la tabla de conexión.
