Descubra o que é Syn flood e saiba como se proteger
Com o crescimento da internet, a forma como as empresas se organizam, como as pessoas conversam e como o dia a dia é planejado mudaram completamente. Praticamente qualquer pessoa pode usar o celular para obter informação ou entrar em contato com alguém sem grandes custos. Porém, junto a isso, surgiram certos riscos de segurança contra os quais todo provedor deve estar preparado.
Um bom exemplo disso é o Syn flood, um tipo de ataque que pode ocorrer contra um servidor. Se você tem ampla movimentação de dados e quer manter a maior disponibilidade e segurança para seus clientes, então vale a pena saber um pouco mais sobre essa ameaça e como se preparar.
Acompanhe e aprenda mais sobre o Syn flood.
O que é Syn flood?
Também chamado de Ataque de Inundação ou Ataque por Porta Entreaberta, o Syn flood é uma modalidade específica de Ataque de Negação de Serviço, ou DDoS. Esses tipos de ameaça consistem em sobrecarregar um sistema ou rede com um número de solicitações maior do que seu limite de resposta, deixando o serviço indisponível por um período.
A finalidade desse ataque pode ser bem variada, desde criar uma vulnerabilidade que possa ser explorada até o desligamento direto do serviço. Mesmo nos casos em que não há violação das informações dentro do servidor, ele ainda será incapaz de responder às solicitações legítimas de seus usuários. Como resultado, seu trabalho não pode ser continuado.
Como o Syn flood pode ocorrer?
A maioria das comunicações entre servidores e usuários funciona com o chamado “Three Way Handshake”, uma série de ações usadas para estabelecer uma conexão confiável. Primeiro, o cliente envia um pacote SYN, para estabelecer contato, o qual o servidor responde com um pacote SYN/ACK. Então, o cliente devolve o pacote ACK, estabelecendo a conexão.
O Syn flood também começa seguindo esses três passos. Porém, logo em seguida, ele envia um grande número de pacotes SYN de um ou mais IPs, alguns podendo ser falsos, iniciando o processo várias vezes. Só que, no último estágio, não envia o pacote ACK. Como o servidor ainda está aguardando confirmação, ele deixa a conexão aberta.
Há um limite para o número de conexões ativas em qualquer rede. Em algum momento, o volume excede a capacidade do servidor e ele não pode receber novas conexões. Se chegar a esse ponto, o Syn flood foi bem-sucedido.
Esse tipo de ataque também pode ocorrer em três variedades.
Direto
Se o ataque parte de um único IP não-falsificado, ele é considerado um ataque direto. Não é o método mais comum, pois isso deixa o criminoso altamente vulnerável. Se o seu número de IP for descoberto, o servidor pode imediatamente bloquear qualquer tentativa de acesso a partir dele, além de denunciá-lo.
Falsificado
Nesse caso, o ataque ocorre com o uso de um IP falsificado para cada pacote SYN enviado. Isso torna bem mais difícil apontar a origem específica do ataque e impedir novos envios sem interromper o serviço manualmente. Não é impossível rastrear a origem desses pacotes até encontrar a trilha do criminoso, mas é algo que exige tempo e bastante esforço.
DDoS
Os ataques DDoS geralmente envolvem o uso de uma botnet, uma rede de computadores controlados remotamente. O criminoso invade o equipamento previamente e instala um malware que será usado no ataque. Isso torna o rastreio extremamente improvável, especialmente se cada aparelho também falsificar os IPs usados no envio dos pacotes.
Como se proteger contra o Syn flood?
Levando em conta todos os seus riscos, é fundamental proteger a sua rede contra um ataque Syn flood. Além de todos os recursos mais gerais, como o uso de firewall, monitoramento de acessos e outros recursos do tipo, também há algumas mudanças que você pode fazer na forma como o sistema responde a esses ataques.
Veja aqui algumas formas de lidar com o Syn flood e minimizar seus danos.
Ajustar o número de conexões
O volume total de tráfego que uma rede ou servidor suportam não é necessariamente o mesmo que o seu limite de respostas para pacotes SYN. Essencialmente, um número máximo de solicitações que podem estar na fila. O mais comum é que nesse limite o sistema tenha um teto arbitrado com base em sua estrutura, capacidade e margem de erro para garantir a qualidade da conexão.
Quando o número de solicitações em fila chega ao máximo, uma forma de não interromper o serviço é fazer com que o servidor ajuste o número de solicitações suportado. Isso leva a uma diluição da capacidade de memória do servidor, o que reduz sua eficiência, mas ainda pode ser melhor que a interrupção completa.
O invasor também trabalha com capacidade de processamento limitada. Sendo assim, é uma questão de quem atinge seu limite primeiro.
Reciclar a conexão mais antiga
Quando o número máximo de conexões entreabertas é atingido e não é possível expandir a fila, a única opção é fechar algumas dessas portas. Sendo assim, você pode responder ao Syn flood “reciclando” algumas conexões, fechando as mais antigas ainda em aberto para acomodar as novas.
Essa opção vem com alguns poréns. Primeiro, se o volume de ataque for muito maior que a sua fila, então qualquer conexão cortada vai apenas dar espaço para uma nova. Segundo, as conexões legítimas precisam ser estabelecidas rapidamente. Caso contrário, há o risco de uma delas cair para o fim da fila e ser cortada.
Utilizar Cookies Syn
A última opção aqui seria utilizar Cookies para controlar o tráfego. Assim que um pacote SYN/ACK é enviado, o servidor apaga a solicitação original, deixando a porta aberta, mas liberando a memória. Caso o pacote ACK de resposta chegue, o servidor vai reconstruir a solicitação e continuar a conexão.
Esse método pode ocasionar algumas perdas de dados na conexão. Porém, ainda é uma alternativa melhor do que interromper o serviço por completo.
O Syn flood é apenas um exemplo dos vários tipos de ataques e ameaças às quais a sua rede está sujeita. Investir em maior proteção e segurança é fundamental para entregar um serviço de qualidade a seus clientes.
Quer continuar recebendo mais das nossas dicas de proteção digital e telecomunicação? Então assine nossa newsletter agora mesmo!
