Como Prevenir um Ataque SYN Flood

Um dos tipos mais comuns de ataques de negação de serviço (DoS) é o SYN flood, que pode interromper o funcionamento normal de uma rede ao sobrecarregar servidores com requisições de conexão falsas.

O que é um Ataque SYN Flood?

Um ataque SYN flood é uma forma de ataque de negação de serviço (DoS) que explora o modo como os computadores se conectam na internet. Quando um computador (o cliente) deseja se comunicar com outro (o servidor), ele começa enviando uma solicitação “SYN” (synchronize). O servidor responde com uma mensagem “SYN-ACK” (synchronize-acknowledge). Em seguida, o cliente conclui a conexão enviando de volta uma mensagem “ACK” (acknowledgement).

No ataque SYN flood, o invasor sobrecarrega o servidor com diversas solicitações SYN. O servidor responde a cada requisição, mas o invasor nunca envia a mensagem final de ACK. Como resultado, o servidor continua aguardando as respostas ACK que nunca chegam, consumindo seus recursos. Isso faz com que o servidor fique ocupado, atinja sua capacidade de conexões e não consiga processar requisições legítimas, levando a uma negação de serviço (DoS).

Quando o servidor alvo fica sobrecarregado e não responde, o ataque interrompe o acesso dos usuários legítimos. Isso resulta em tempo de inatividade, perda de serviço e possíveis danos à reputação da empresa. Em ambientes de alto tráfego, como varejo online e serviços bancários, o ataque sobrecarrega os recursos da rede, reduz o desempenho e gera insatisfação dos clientes.

Como Identificar um Ataque SYN Flood

Alto Volume de Pacotes SYN Recebidos: Um aumento inesperado no volume de pacotes SYN é um sinal claro de um ataque SYN flood, em que o invasor inunda o servidor com solicitações desse tipo.

Número Anormal de Conexões TCP Incompletas: O servidor alvo acumula muitas conexões incompletas, onde aguarda o passo final do handshake, mas o cliente nunca responde com o ACK.

Exaustão de Recursos: Os ataques SYN flood frequentemente causam esgotamento de recursos no servidor alvo, forçando-o a alocar recursos para cada conexão não concluída.

Endereços IP Falsificados ou Incomuns: Os invasores geralmente falsificam os endereços IP de origem em um ataque SYN flood, o que resulta em um grande número de endereços IP únicos ou suspeitos enviando solicitações SYN ao alvo.

Prevnção de Ataques SYN Flood

Embora a Forcepoint ofereça diversas capacidades de segurança, como análise de comportamento do tráfego e inspeção profunda de pacotes (DPI) para analisar o conteúdo do tráfego recebido e monitorar a atividade geral da rede, também disponibilizamos recursos específicos para proteger contra ataques SYN Flood. Esses recursos incluem:

Proteção DoS Baseada em Taxa: Limita o número de solicitações SYN recebidas por segundo, ajudando a prevenir ataques SYN flood ao bloquear automaticamente o tráfego que excede os limites definidos nas políticas, garantindo que o servidor não seja sobrecarregado por um excesso de requisições.

Limite para Conexões TCP Incompletas: Define um limite para o número de conexões incompletas que o firewall permitirá, evitando que o servidor seja inundado com conexões não finalizadas, algo típico em ataques SYN flood.

Sensibilidade a Solicitações HTTP Lentas: Detecta solicitações HTTP lentas ou atrasadas, que às vezes são usadas em combinação com ataques SYN flood para exaurir os recursos do servidor. Esse recurso ajuda a identificar e bloquear tráfego malicioso que tenta sobrecarregar os recursos do servidor com transações HTTP lentas e incompletas.

Sensibilidade a SYN Flood: Focado especificamente em ataques SYN flood, este recurso detecta taxas anormalmente altas de pacotes SYN e aciona automaticamente defesas para bloquear ou mitigar o ataque, evitando que o servidor fique sobrecarregado com conexões não finalizadas.

Tempo de Bloqueio para Lista Negra de Solicitações HTTP Lentas: Quando solicitações HTTP lentas ou maliciosas são detectadas, este recurso adiciona os IPs ofensivos a uma lista negra por um período de tempo definido, impedindo que eles façam novas conexões e mitigando o impacto de ataques SYN flood e outros ataques baseados em lentidão.

Sensibilidade ao Reset de TCP: Detecta resets anormais de sessões TCP (pacotes RST) e redefine automaticamente conexões maliciosas ou incompletas, encerrando sessões não finalizadas causadas por ataques SYN flood e liberando os recursos do servidor.

Ao analisar padrões e estabelecer referências para o tráfego legítimo, a Forcepoint detecta anomalias, como um aumento repentino de solicitações SYN ou fontes de requisição incomuns. Quando atividades suspeitas são identificadas, o sistema sinaliza automaticamente tentativas potenciais de ataques SYN flood, permitindo ações rápidas para prevenir danos antes que se agravem.