Compreendendo e mitigando ataques SYN-ACK

O que é um ataque SYN-ACK?

O ataque DDoS SYN-ACK é um tipo de ataque distribuído de negação de serviço (DDoS) que explora as fraquezas do processo de estabelecimento de conexões do protocolo TCP. Para compreender seu funcionamento, é essencial rever as complexidades do handshake tridirecional do TCP, um procedimento fundamental para estabelecer uma conexão entre um cliente e um servidor:

‍

Etapa inicial: O cliente envia uma solicitação por meio de um pacote SYN;

‍

Etapa subsequente: O servidor responde à solicitação com um pacote SYN-ACK;

‍

Etapa final: O cliente reconhece com um sinal ACK, estabelecendo a conexão para troca de dados.

‍

No caso de um ataque SYN-ACK, os atacantes enviam pacotes SYN imitando os IPs das vítimas para servidores que fornecem serviços de rede públicos baseados em TCP. Esses servidores então respondem com pacotes SYN-ACK destinados aos IPs das vítimas. Essa inundação força as vítimas a gastar recursos de processamento consideráveis para decifrar a sequência inesperada de pacotes, desviando-se do mecanismo de aperto de mão tridirecional padrão SYN, SYN-ACK e ACK TCP. Consequentemente, os dispositivos sob ataque podem ficar sobrecarregados pelo volume desses pacotes, tornando sua capacidade de processar solicitações genuínas de forma eficaz, permitindo que os atacantes obtenham um resultado bem-sucedido de negação de serviço.

‍

‍

Desafios para provedores de Internet

Em sua busca para resolver esse problema, muitos provedores de internet têm buscado soluções anti-DDoS. No entanto, a maioria desses provedores tem dificuldade em detectar ataques usando os algoritmos incorporados em suas caixas. Eles também exploraram firewalls com estado, mas encontrar uma solução direta para esse problema complexo continua sendo um desafio. Para lidar com milhões de pacotes por segundo de forma eficaz, um firewall deve possuir recursos de processamento poderosos; implementar essa solução pode ser extremamente caro. Além disso, os provedores precisariam direcionar seu tráfego de upload/download pela infraestrutura do serviço de firewall, adicionando outra camada de complexidade ao gerenciamento de rede e aumentando significativamente os custos.

‍

Muitas das soluções de mitigação de DDoS existentes no mercado se enquadram nas seguintes categorias:

1. Implementando desafios/autenticação SYN para combater ataques SYN e desafios ACK para mitigar ataques ACK.
   
   No entanto, esses métodos podem inadvertidamente atrapalhar usuários legítimos de clientes que lutam para enfrentar os desafios SYN ou ACK de forma eficaz. Além disso, os desafios de SYN são comumente empregados para se defender contra ataques de inundação de SYN, embora sua eficácia contra inundações de SYN-ACK permaneça não verificada.

2. Aplicação da limitação de taxa SYN-ACK para lidar com ataques SYN-ACK, que podem afetar inadvertidamente o tráfego protegido do servidor.
   
   Definir um limite muito baixo pode restringir o número de conexões, enquanto configurá-lo muito alto pode potencialmente permitir ataques de desvio. Além disso, a limitação de taxa não distingue entre ataques legítimos e maliciosos, resultando potencialmente na eliminação de pacotes legítimos.

O principal desafio está em proteger os objetos gerenciados pelo cliente/servidor sem comprometer a experiência do usuário de nenhuma das partes.
‍

‍Solução anti-DDoS da Nexusguard

‍A Nexusguard, em colaboração com sua equipe de especialistas, desenvolveu um método de alta capacidade para inspecionar pacotes SYN-ACK adaptados às necessidades de seus clientes. Essa abordagem elimina a necessidade de redirecionar os uploads de provedores de internet por meio da infraestrutura da Nexusguard. Os provedores que utilizam as caixas anti-DDoS da Nexusguard mantêm o controle total sobre seus processos de upload/download a um custo significativamente reduzido em comparação com estruturas baseadas em firewall.

Para aprimorar a experiência do usuário e reforçar as medidas de segurança, a Nexusguard introduziu um novo módulo de verificação de IP real. Em essência, o processo se desenrola da seguinte forma:

1. Os IPs de origem são categorizados em 3 buckets distintos

• Lista de IPs confiáveis‍

Com base no comportamento histórico do usuário/IP, compilamos uma lista de IPs confiáveis. Esses IPs contornam os desafios do SYN/ACK, a menos que acionem limites de taxa específicos, garantindo uma experiência perfeita para visitantes legítimos.

• Lista de IPs não confiáveis

Os IPs dessa categoria enfrentam desafios de SYN/ACK com limites rigorosos de limite de taxa.

• Lista de IP normal‍

Composto por IPs não classificados como confiáveis ou não confiáveis, esse grupo enfrenta desafios de SYN/ACK com uma configuração de limite de taxa mais branda.

2. Após a verificação como usuário confiável, os IPs são incluídos na lista de IPs confiáveis. Em caso de atividades suspeitas, os IPs são movidos para a lista de IPs não confiáveis. O Nexusguard se abstém de manter uma lista permanente de IPs bloqueados devido à facilidade com que os IPs/redes de origem podem ser falsificados, tornando o bloqueio imediato impraticável.

3. Além disso, implementamos um limite de taxa para sinalizadores SYN-ACK (envolvendo somente SYN e ACK existentes) e aprimoramos a verificação considerando os hosts IP de origem (/32) e as redes (/24) para combater ataques de bombardeio.

‍Casos de uso comprovados

‍A mitigação dos ataques SYN-ACK pelo sistema da Nexusguard passou por testes rigorosos e obteve a aprovação de vários fornecedores no Brasil. Esse sistema de revenda simples permitiu que esses provedores aumentassem sua lucratividade atendendo a uma gama mais ampla de provedores de serviços de Internet.

Se você busca proteger seu provedor com um sistema abrangente e escalável contra ataques de DDoS, evitando complexidade desnecessária em sua infraestrutura e gerando lucros rapidamente, a Nexusguard é o parceiro ideal para sua empresa. Entre em contato conosco hoje para uma consulta gratuita.