Qu'est-ce qu'une attaque SYN Flood ?
Une inondation SYN, également connue sous le nom d'inondation SYN TCP, est un type d'attaque par déni de service (DoS) ou par déni de service distribué (DDoS) qui envoie un nombre massif de requêtes SYN à un serveur pour le submerger de connexions ouvertes.
Une attaque SYN flood, parfois appelée attaque semi-ouverte, est une attaque au niveau du réseau qui bombarde un serveur de demandes de connexion sans répondre aux accusés de réception correspondants. Le grand nombre de connexions TCP ouvertes qui en résulte consomme les ressources du serveur et évince essentiellement le trafic légitime, rendant impossible l’ouverture de nouvelles connexions légitimes et difficile, voire impossible, pour le serveur de fonctionner correctement pour les utilisateurs autorisés déjà connectés.
Pratiquement toutes les organisations disposant d’un site Web public sont vulnérables à ce type d’attaque. Si un SYN flood n'est pas rapidement détecté et traité, il peut rapidement submerger un serveur, ralentir considérablement les réponses du serveur et empêcher toute autre connexion. Cela met effectivement le serveur hors ligne, de sorte que les utilisateurs légitimes se voient refuser le service, perdant l'accès aux applications et aux données ou empêchant le commerce électronique. Les conséquences peuvent inclure une perte de continuité des activités, une perturbation des infrastructures critiques, une perte de ventes ou une réputation ternie. Pour certaines organisations, comme celles du secteur de la santé, les dommages causés par la perte d’accès aux données peuvent mettre leur vie en danger.
Les recherches de F5 Labs suggèrent que les inondations SYN sont l’un des types d’attaques DoS volumétriques les plus courants chaque année. Ils peuvent être utilisés en combinaison avec d’autres types d’attaques ou comme écran de fumée pour ces derniers, notamment les attaques par ransomware ou les tentatives de vol de données ou d’implantation de logiciels malveillants.
Chaque conversation client-serveur commence par une poignée de main standardisée à trois. Le client envoie un paquet SYN, le serveur répond avec un SYN-ACK et la connexion TCP est établie. Lors d’une attaque par inondation SYN, le client envoie un nombre impressionnant de requêtes SYN et ne répond intentionnellement jamais aux messages SYN-ACK du serveur.
Cela laisse le serveur avec des connexions ouvertes en attente de nouvelles communications du client. Chacun d’entre eux est suivi dans la table de connexion TCP du serveur, remplissant éventuellement la table et bloquant toute tentative de connexion supplémentaire provenant de n’importe quelle source. Il en résulte une perte de continuité des activités et d’accès aux données.
Les inondations SYN sont fréquemment effectuées par des robots se connectant à partir d'adresses IP usurpées pour rendre l'attaque plus difficile à identifier et à atténuer. Les botnets peuvent lancer des attaques SYN flood sous forme d'attaques par déni de service distribué (DDoS) .
Les solutions de protection DDoS F5 permettent de garantir que les attaques contre le réseau ne paralyseront pas, ou pire, n'arrêteront pas, vos niveaux de serveur et d'application, détournant ainsi vos clients. Nos solutions peuvent reconnaître qu'une attaque par inondation SYN peut se produire et prendre des mesures défensives d'atténuation pour protéger la table de connexion tout en permettant aux connexions légitimes d'accéder au réseau protégé. Avec ce type de défense, les requêtes SYN de l'attaquant obtiennent des réponses, ils pensent donc que l'attaque fonctionne, mais la table de connexion n'atteint jamais sa capacité car seules les requêtes de connexion valides conservent des emplacements dans la table de connexion.
