Outros Assuntos

Ataques SYN flood

Benedito Silva Júnior Benedito Silva Júnior 22/12/2021

Ataques SYN flood ou ataque SYN é uma forma de ataque de negação de serviço (Denial of Service – DoS) em sistemas computadorizados, na qual o atacante envia uma sequência de requisições SYN para um sistema-alvo visando uma sobrecarga direta na camada de transporte e indireta na camada de aplicação do modelo OSI.

Quando um cliente tenta começar uma conexão TCP com um servidor, o cliente e o servidor trocam uma série de mensagens, que normalmente são assim:

→ O cliente requisita uma conexão enviando um SYN (synchronize) ao servidor;
→ O servidor confirma esta requisição mandando um SYN-ACK(acknowledge) de volta ao cliente;
→ O cliente por sua vez responde com um ACK, e a conexão está estabelecida.

comunicação cliente servidor

Um cliente malicioso, que implemente intencionalmente um protocolo TCP errado e incompleto, pode não mandar esta última mensagem ACK.

O servidor irá esperar por isso por um tempo, já que um simples congestionamento de rede pode ser a causa do ACK em falta.

Esta chamada conexão semi-aberta explora a boa-fé do protocolo TCP que espera por um certo tempo e algumas tentativas de restabelecimento de um sinal ACK válido para retomar a comunicação.

A resposta maliciosa ao comando SYN gerada pelo cliente pode ocupar recursos no servidor (memória e processamento) ou causar prejuízos para empresas usando softwares licenciados por conexão (aumento de conexões “ativas”).

Pode ser possível ocupar todos os recursos da máquina, com pacotes SYN. Uma vez que todos os recursos estejam ocupados, nenhuma nova conexão (legítima ou não) pode ser feita, resultando em negação de serviço. Alguns podem funcionar mal ou até mesmo travar se ficarem sem recursos desta maneira.

Algumas contramedidas para este ataque são os SYN cookies. Apenas máquinas Sun e Linux usam SYN cookies.

Ao contrário do que muitos pensam, não se resolve negação de serviço por Syn flood limitando conexões por minuto (como usar o módulo limit ou recent do iptables), pois as conexões excedentes seriam descartadas pelo firewall, sendo que desta forma o próprio firewall tiraria o serviço do ar.

Se eu, por exemplo, limito as conexões SYN a 10/seg, um atacante precisa apenas manter uma taxa de SYNs superior a 10/s para que conexões legítimas sejam descartadas pelo firewall.

Um ataque de Syn Flood é feito com os ips forjados (spoof), para que o atacante não receba os ACKs de suas falsas solicitações.

Fonte: Wikipedia → https://pt.wikipedia.org/wiki/SYN_Flood

Deseja se tornar um profissional de Segurança em Redes de Computadores e Cibersegurança?

Conheça o curso de Segurança em Redes de Computadores e entenda os diversos tipos de ataques que existem, bem como as peças do quebra-cabeça que integram a defesa de uma rede, entre elas: Firewall, IPS, Proxy, Anti-Spam, Anti-vírus, Anti-Malware, VPN, Sandboxing, NAC, etc.

CLIQUE NA IMAGEM ABAIXO E SAIBA MAIS DETALHES:

curso de segurança de redes e cibersegurança

Link do curso: https://go.hotmart.com/A69498318E

O que são redes Wimesh?

Dúvidas ou sugestões? Deixem nos comentários! Para mais dicas, acesse o nosso canal no YouTube:
 https://youtube.com/criandobits

Tags: | | | | |

Artigos Relacionados

Como criar e aplicar template para cotas Como criar e aplicar template para cotas
O que é IPcop? O que é IPcop?
Manipuladores de eventos em JavaScript Manipuladores de eventos em JavaScript
Entenda as diferenças entre Legacy e UEFI Entenda as diferenças entre Legacy e UEFI

Sobre o Autor

Benedito Silva Júnior
Benedito Silva Júnior

Bacharel em Sistemas de Informação pelo Instituto Paulista de Pesquisa e Ensino IPEP. Apaixonado por tecnologias e games do tempo da vovó!

0 Comentários

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *