Что такое DDoS-атаки SYN Flood, SYN-ACK Flood и ACK Flood?

Атаки SYN flood, SYN-ACK flood и ACK flood — это разновидности DDoS (распределенных атак отказа в обслуживании), которые перегружают цель огромным количеством TCP-пакетов, эксплуатируя разные этапы процесса установления TCP-соединения: SYN, SYN-ACK и ACK соответственно.

Эти атаки нацелены на оборудование с отслеживанием состояния соединений, такое как межсетевые экраны и серверы. Задача злоумышленника — перегрузить механизм обработки запросов на TCP-соединение, тем самым сделав атакуемый ресурс недоступным для легитимных пользователей. Поскольку такие атаки затрагивают устройства, работающие на транспортном уровне модели OSI, они классифицируются как DDoS-атаки уровня L4.

Некоторые крупномасштабные атаки типа SYN flood могут создавать настолько значительный объем трафика, что он полностью забивает коммуникационный канал. Такие атаки дополнительно перегружают и сетевые устройства без отслеживания состояния, работающие на более низких уровнях модели OSI, такие как маршрутизаторы и коммутаторы. В этом случае атака считается комбинированной атакой L3-L4.

Transmission Control Protocol (TCP) — один из основных протоколов, на которых построен интернет. Он используется для передачи данных между устройствами, подключенными к IP-сети, и обеспечивает доставку этих данных без ошибок.

В отличие от UDP, TCP требует установления соединения перед началом передачи информации. Поэтому, когда клиент хочет отправить или получить данные с сервера через TCP, он сначала инициирует соединение, используя так называемое TCP-рукопожатие.

Этот процесс включает три этапа:

• SYN: когда клиент хочет установить соединение с сервером, он отправляет тому сообщение SYN (synchronize) — это можно сравнить с фразой «Привет, хочу поговорить».
  
  
• SYN-ACK: сервер получает SYN и отвечает SYN-ACK (synchronize-acknowledge) — «Привет, я тебя слышу, давай поговорим».
  
  
• ACK: клиент получает SYN-ACK и отправляет ACK (acknowledge) — «Отлично, начинаем разговор».

После завершения этих трех шагов устанавливается TCP-соединение, и клиент с сервером могут начать обмениваться данными.

К сожалению, каждый из этапов TCP-рукопожатия может быть использован злоумышленниками для организации DDoS-атак — причем не единственным способом. Рассмотрим подробнее, как именно это происходит.

Наиболее базовый способ организации DDoS-атаки, использующей TCP-рукопожатие — это отправка огромного количества SYN-запросов с разных IP-адресов. Для этого злоумышленники, как правило, используют крупный ботнет, состоящий из зараженных устройств.

Атакуемая система отвечает на каждый такой SYN-запрос пакетом SYN-ACK (synchronize-acknowledge) и далее ожидает финальный ACK (acknowledge), чтобы завершить установление соединения. Однако атакующий никогда не отправляет ACK, в результате чего сервер остается с огромным количеством инициированных, но не установленных соединений.

Часто в реальных атаках применяется немного другой подход — подделка IP-адресов в SYN-запросах. В этом случае сервер отправляет SYN-ACK на несуществующие или случайные адреса, не получает ответы, но продолжает их ожидать и удерживать полуоткрытые соединения.

В любом варианте цель атаки SYN flood — исчерпать возможности сервера или межсетевого экрана по обработке новых соединений. Как только это происходит, система перестает устанавливать подключения и становится недоступной для легитимных пользователей.

Другой способ эксплуатации TCP-рукопожатия — это массовая рассылка поддельных SYN-ACK-пакетов с подставными IP-адресами в поле отправителя. Получив такие пакеты, целевой сервер или межсетевой экран должен определить, являются ли они легитимными ответами на ранее отправленные им ACK-пакеты или же это мусорный трафик.

С помощью этого приема атака SYN-ACK flood потребляет ресурсы целевой системы. Атакуемое устройство перегружается, пытаясь обработать и проверить каждый входящий SYN-ACK-пакет. В результате цель становится недоступной для легитимного трафика, что приводит к отказу в обслуживании.

Аналогично работает атака ACK flood: злоумышленник отправляет большое количество поддельных ACK-пакетов. При получении таких пакетов целевая система должна определить, являются ли они легитимными подтверждениями ранее отправленных ею SYN-ACK-пакетов или это мусорный трафик.

Цель атаки — истощить ресурсы сервера или межсетевого экрана до того состояния, при котором устройство перестает справляться с обработкой входящих ACK-пакетов. В результате система становится недоступной.

Хотя атаки усиления и отражения (amplification/reflection) обычно эксплуатируют протокол UDP, поскольку он не требует установления соединения, TCP также уязвим для подобных атак.

Для этого злоумышленники слегка изменяют сценарий атаки типа SYN flood. При подмене SYN-запросов они используют в качестве отправителя IP-адрес жертвы, а сами запросы рассылают большому числу легитимных серверов по всему интернету.

Получив SYN-запрос, эти случайные серверы исправно отправляют ответ SYN-ACK на IP-адрес жертвы. Дополнительный эффект злоумышленники получают за счет неправильной настройки серверов: многие из них отправляют не один, а несколько ответов, а некоторые — десятки или даже сотни.

В результате атаки SYN-ACK amplification жертва получает огромный поток отраженных SYN-ACK-пакетов. Далее атака развивается по тому же сценарию, что и обычный SYN-ACK flood: атакуемая система пытается понять, к каким соединениям относятся входящие запросы, перегружается и становится недоступной.

DDoS-атаки, эксплуатирующие процедуру установления TCP-соединения — такие как SYN flood, — могут быть крайне разрушительными. Успешная атака перегружает серверы и сетевую инфраструктуру, что приводит к длительному простою и делает ресурсы недоступными для легитимных пользователей.

Это особенно критично для компаний, зависящих от онлайн-операций, — например, из сферы электронной коммерции, финтеха, онлайн-игр и других. Финансовые потери в таких случаях могут быть очень значительными.

После атаки бизнесу приходится перераспределять ресурсы: вместо развития и роста они тратятся на устранение последствий. Кроме того, частые или продолжительные атаки могут повлечь регуляторные санкции и юридические риски. Репутационные потери и снижение доверия со стороны клиентов становятся еще одним долгосрочным негативным эффектом успешной DDoS-атаки.

Простейший способ противодействия DDoS-атакам — это blackholing, перенаправление трафика от определенных диапазонов IP-адресов на нулевой маршрут (null route). Поскольку при использовании данного метода блокируются в том числе и легитимный трафик, он может использоваться только как крайняя мера.

Защита от атак типа SYN flood часто включает ограничение частоты запросов (rate limiting) — контроль объема трафика, который пропускается к целевой системе. Это помогает предотвратить перегрузку, однако лимиты устанавливаются на каждый IP-адрес отдельно. Поэтому метод неэффективен против атак с использованием множества разных адресов, а при слишком низких значениях может мешать обработке легитимного трафика.

Другой подход — фильтрация трафика, при которой вредоносный трафик блокируется, а легитимный пропускается. Это сложная задача, успех которой зависит от масштабов атаки и возможностей фильтрующего решения.

Масштабируемый вариант защиты — использование центров очистки. Трафик перенаправляется на специализированные площадки, где он проходит анализ и фильтрацию. Вредоносная составляющая удаляется, а «чистый» трафик передается к целевой системе. Такие центры используют передовые алгоритмы и технологии, а также обладают достаточными ресурсами для фильтрации атак большого масштаба.

Curator.AntiDDoS обеспечивает постоянную и комплексную защиту от DDoS-атак как на уровнях L3-L4, так и на уровне L7, используя глобальную сеть из 18 центров очистки. Архитектура BGP Anycast и подключение к Tier 1 или ведущим региональным операторам позволяют эффективно распределять трафик и обеспечивать его мониторинг и фильтрацию в режиме реального времени. Распределенная облачная инфраструктура Curator.AntiDDoS способна отражать атаки любого масштаба, а модель оплаты по мере использования снижает затраты для клиентов.