Back to All Blog

Comprensión y mitigación de los ataques SYN-ACK

Nexusguard
-
Share to:
In this article:

¿Qué es un ataque SYN-ACK?

El ataque DDoS SYN-ACK es un tipo de ataque distribuido de denegación de servicio (DDoS) que aprovecha las debilidades del proceso de establecimiento de conexiones del protocolo TCP. Para comprender su funcionamiento, es esencial revisar las complejidades del protocolo de enlace a tres bandas TCP, un procedimiento fundamental para establecer una conexión entre un cliente y un servidor:

Paso inicial: El cliente envía una solicitud a través de un paquete SYN;

Paso siguiente: El servidor responde a la solicitud con un paquete SYN-ACK;

Último paso: El cliente confirma con una señal ACK, estableciendo la conexión para el intercambio de datos.

En el caso de un ataque SYN-ACK, los atacantes envían paquetes SYN que imitan las IP de las víctimas a servidores que proporcionan servicios de red públicos basados en TCP. Luego, estos servidores responden con paquetes SYN-ACK destinados a las IP de las víctimas. Esta avalancha obliga a las víctimas a gastar considerables recursos de procesamiento para descifrar la secuencia inesperada de paquetes, lo que se desvía del mecanismo estándar de enlace triple TCP SYN, SYN-ACK y ACK. En consecuencia, los dispositivos objeto de ataque pueden verse abrumados por el volumen de estos paquetes, lo que reduce su capacidad para procesar solicitudes genuinas de manera eficaz, lo que permite a los atacantes lograr una denegación de servicio satisfactoria.

Figura 1: Anatomía de un ataque SYN-ACK

Desafíos para los proveedores de Internet

En su afán por abordar este problema, muchos proveedores de Internet se han esforzado por encontrar soluciones contra DDoS. Sin embargo, la mayoría de estos proveedores tienen dificultades para detectar los ataques utilizando los algoritmos integrados en sus dispositivos. También han explorado los firewalls que funcionan correctamente, pero encontrar una solución sencilla a este complejo problema sigue siendo un desafío. Para gestionar los millones de paquetes por segundo de forma eficaz, un firewall debe poseer potentes capacidades de procesamiento; la implementación de una solución de este tipo puede resultar extremadamente costosa. Además, los proveedores tendrían que dirigir su tráfico de carga y descarga a través de la infraestructura de servicios de firewall, lo que añadiría otro nivel de complejidad a la administración de su red y aumentaría considerablemente los costos.

Muchas de las soluciones de mitigación de DDoS existentes en el mercado se clasifican en las siguientes categorías:

  1. Implementación de desafíos y autenticación de SYN para combatir los ataques de SYN y desafíos de ACK para mitigar los ataques de ACK.

    Sin embargo, estos métodos pueden interrumpir inadvertidamente a los usuarios legítimos de los clientes que tienen dificultades para superar los desafíos de SYN o ACK de manera eficaz. Además, los desafíos del SYN suelen emplearse para defenderse de los ataques de las inundaciones del SYN, aunque su eficacia contra las inundaciones del SYN-ACK sigue sin verificarse.
  1. Aplicar la limitación de velocidad de SYN-ACK para hacer frente a los ataques de SYN-ACK, que pueden afectar inadvertidamente al tráfico de los servidores protegidos.

    Establecer un límite demasiado bajo podría restringir la cantidad de conexiones, mientras que establecerlo demasiado alto podría permitir ataques de elusión. Además, la limitación de velocidad no distingue entre ataques legítimos y malintencionados, lo que podría provocar la pérdida de paquetes legítimos.

El principal desafío radica en proteger los objetos gestionados por el cliente y el servidor sin comprometer la experiencia de usuario de ninguna de las partes.

La solución anti-DDoS de Nexusguard

Nexusguard, en colaboración con su equipo de expertos, desarrolló un método de alta capacidad para inspeccionar los paquetes SYN-ACK a la medida de las necesidades de sus clientes. Este enfoque elimina la necesidad de redirigir las cargas subidas de los proveedores de Internet a través de la infraestructura de Nexusguard. Los proveedores que utilizan los dispositivos antiDDoS de Nexusguard mantienen un control total sobre sus procesos de carga y descarga a un costo significativamente menor en comparación con las estructuras basadas en firewalls.

Para mejorar la experiencia del usuario y reforzar las medidas de seguridad, Nexusguard presentó un nuevo módulo de verificación de IP real. En esencia, el proceso se desarrolla de la siguiente manera:

  1. Las IP de origen se clasifican en 3 grupos distintos
  • Lista de direcciones IP confiables

Basándonos en el comportamiento histórico de los usuarios/IP, compilamos una lista de IP confiables. Estas IP eluden los desafíos de SYN/ACK a menos que impongan límites de velocidad específicos, lo que garantiza una experiencia perfecta para los visitantes legítimos.

  • Lista de direcciones IP no confiables

Las IP de esta categoría se enfrentan a desafíos de SYN/ACK con umbrales de velocidad estrictos.

  • Lista de direcciones IP normales

Este grupo, que comprende direcciones IP no clasificadas como confiables o no confiables, se enfrenta a desafíos de SYN/ACK con una configuración de límite de velocidad más indulgente.

  1. Tras la verificación como usuario confiable, las IP se incluyen en la lista de IP confiables. En caso de actividades sospechosas, las IP se trasladan a la lista de direcciones IP no confiables. Nexusguard se abstiene de mantener una lista permanente de IP bloqueadas debido a la facilidad con la que se pueden falsificar las IP/redes de origen, lo que hace que el bloqueo inmediato no sea práctico.
  1. Además, implementamos un límite de velocidad para los indicadores SYN-ACK (que solo incluyen los SYN y ACK existentes) y mejoramos la verificación teniendo en cuenta los hosts IP de origen (/32) y las redes (/24) para contrarrestar los ataques con bombas indiscriminadas.

Casos de uso comprobados

La mitigación de los ataques SYN-ACK por parte del sistema de Nexusguard se ha sometido a rigurosas pruebas y ha obtenido la aprobación de numerosos proveedores en Brasil. Este sencillo sistema de reventa ha permitido a estos proveedores aumentar su rentabilidad al atender a una gama más amplia de proveedores de servicios de Internet.

Si busca proteger a su proveedor con un sistema integral y escalable contra los ataques DDoS, evitando al mismo tiempo una complejidad innecesaria en su infraestructura y generando beneficios rápidamente, Nexusguard es el socio ideal para su negocio. Póngase en contacto con nosotros hoy para una consulta gratuita.

Protect Your Infrastructure Today

Explore Nexusguard Edge Protection Solutions Today
Start Conversation

Related Articles

8 min read

Vulnerabilidad de regresión de OpenSSH (CVE-2024-6387): medidas de explotación y mitigación

Nexusguard proporciona soluciones de seguridad completas y confiables que infunden total confianza en la protección de su red y aplicaciones. Mediante nuestras estrictas medidas de refuerzo de la seguridad y nuestras rigurosas inspecciones, eliminamos eficazmente el riesgo de vulnerabilidades de alta seguridad, garantizando que sus activos estén protegidos con el más alto nivel de protección.
View Details
DDoS,SASE,Zero Trust
8 min read

DDoS Protection for SASE / Zero-Trust Resilience

DDoS Protection for SASE/Zero-Trust Resilience
View Details
DDoS,DNS Amplification,DNS Attack,DNSSEC
8 min read

DNSSEC Fuels New Wave of DNS Amplification

The continued adoption of DNSSEC as a solution DNS cache poisoning is now causing a new set of problems previously underestimated. Advanced protection is a must to safeguard DNS servers.
View Details