On dit souvent que les Nice Guys finissent derniers. Mais si vous pensiez que c’était un problème limité aux humains, détrompez-vous. La technologie est également sensible. Plus précisément, votre technologie est également sensible.
Lorsqu’un attaquant profite de la nature accueillante d’Internet, cela conduit à un type d’attaque DDoS appelé SYN flood, qui peut entraîner tous les méfaits associés aux attaques DDoS : perte de revenus, perte de confiance des consommateurs, dommages matériels et logiciels, et le vol de données financières, d’informations sur les consommateurs ou de propriété intellectuelle.
Vous connaissez le protocole
Une attaque par déni de service distribué (DDoS) tente de refuser le service d’un site Web, d’un réseau, d’un serveur ou d’une autre ressource Internet à ses utilisateurs légitimes. Ceci est réalisé en arrêtant ou en suspendant les services d’un hôte connecté à Internet.
Ces types d’attaques peuvent généralement être divisés en trois catégories : les attaques basées sur le volume, qui saturent la bande passante du site attaqué, les attaques au niveau de l’application, qui bloquent les serveurs Web en sollicitant les fonctions ou les fonctionnalités du site avec des requêtes apparemment légitimes, et les attaques de protocole. attaques, conçues pour consommer les ressources réelles du serveur ou les ressources des équipements de communication intermédiaires tels que les équilibreurs de charge ou les pare-feu. Les attaques de protocole le font en exploitant les faiblesses des protocoles Internet. Les inondations SYN entrent dans cette catégorie.
Un désaccord de poignée de main
Selon la définition fournie par la société d’atténuation DDoS Incapsula, une inondation SYN profite d’une faiblesse connue du protocole TCP de prise de contact à trois voies pour consommer les ressources d’un serveur et le laisser insensible aux requêtes légitimes.
La poignée de main TCP à trois voies, lorsqu’elle fonctionne correctement, fonctionne comme ceci : Pour créer une connexion entre un client et un serveur, le client demande une connexion au serveur en envoyant un message de synchronisation (SYN) au serveur. Le serveur accuse ensuite réception de cette demande en envoyant un message d’accusé de réception de synchronisation (SYN-ACK) au client. Dans la troisième partie de la poignée de main, le client renvoie un message d’accusé de réception (ACK). Avec ces trois étapes, la connexion est établie.
Un attaquant pourrait exploiter ce processus avec une inondation SYN en envoyant à plusieurs reprises des requêtes SYN (autrement appelées paquets) au serveur de la victime. Lorsque le serveur renvoie les messages SYN-ACK, l’attaquant ne répond pas ou les messages SYN-ACK ne peuvent aller nulle part car les demandes ont été envoyées à partir d’une adresse IP usurpée en premier lieu. Dans tous les cas, le serveur est bloqué en attente de réponses qu’il ne recevra pas, et avec toutes ces connexions semi-ouvertes, les ressources du serveur sont occupées et incapables de répondre aux requêtes légitimes.
La menace posée par les inondations SYN
Tous les types d’attaques DDoS sont de mauvaises nouvelles, mais si les inondations SYN se classent plus haut sur la jauge de menace, c’est parce qu’elles sont si courantes. Selon Incapsula, les attaques impliquant des inondations SYN représentent plus de 50 % de toutes les attaques DDoS.
De plus, les inondations SYN peuvent impliquer des paquets SYN réguliers ou de grands paquets SYN, il existe donc en fait deux types d’inondations SYN. Et puisque la plupart des attaques DDoS sont désormais multi-vecteurs ou utilisent plus d’une méthode d’attaque, devinez ce que représente la méthode d’attaque multi-vecteur la plus courante ? C’est vrai : une combinaison d’inondation SYN régulière et d’inondation SYN importante. Cette combinaison représente plus de 75 % de toutes les attaques DDoS multi-vecteurs.
Les inondations SYN (Large + Normal) représentent 50 % de toutes les attaques DDoS au niveau du réseau (source : rapport sur les tendances DDoS Encapsula 2013-2014)
Trempez vos serveurs
Les entreprises vivent dans un monde de plus en plus en ligne et cela signifie que les sites Web doivent toujours être disponibles. Cela est particulièrement vrai dans des secteurs comme les jeux en ligne et la finance, mais chaque site Web d’entreprise sera endommagé dans une certaine mesure par une panne DDoS. Qu’elle soit aussi immédiatement dévastatrice que le vol de données financières ou aussi silencieusement nuisible que les clients qui décident d’aller ailleurs, une inondation SYN a des conséquences.
La bonne nouvelle est que les inondations SYN peuvent absolument être évitées grâce à une atténuation professionnelle des attaques DDoS. Les inondations SYN représentant plus de 50 % de toutes les attaques DDoS et plus de 75 % de toutes les attaques DDoS multi-vecteurs, il ne fait aucun doute que l’atténuation DDoS professionnelle est consciente du problème d’inondation SYN et sait comment le résoudre.
Les cookies SYN sont l’une des stratégies les plus courantes que les professionnels de l’atténuation DDoS utiliseront pour prévenir les inondations SYN. Dans cette stratégie, le serveur sera configuré pour répondre à toutes les requêtes SYN avec un message SYN-ACK qui inclut un hachage construit à partir de l’adresse IP du client, des horodatages et d’autres informations d’identification spécifiques. À moins que le client ne soit en mesure de répondre avec un message ACK qui inclut ce numéro de séquence, il n’y aura pas de mémoire allouée par le serveur pour la connexion et donc pas de ports semi-ouverts.
D’autres stratégies d’atténuation du flux SYN incluent l’allocation de petites quantités de mémoire serveur pour les requêtes SYN, la réponse à toutes les premières requêtes SYN avec un message SYN-ACK intentionnellement invalide et la réduction du temps pendant lequel la mémoire est allouée aux connexions potentielles.
Pas de bricolage pour SYN
Se protéger des inondations SYN n’est pas facile car la capacité de votre serveur à établir des connexions est ce qui assure le bon fonctionnement de votre site Web pour les utilisateurs légitimes, donc ce n’est pas quelque chose avec lequel vous voulez vraiment jouer. Ceci, combiné au fait que le trafic DDoS peut souvent être mesuré en dizaines voire en centaines de Gigabits, est ce qui rend nécessaire une protection DDoS professionnelle.
Avec une atténuation DDoS professionnelle, vos serveurs peuvent devenir sécurisés et votre site Web s’en portera mieux.