Conexão com SYN flood . O atacante envia diversas vezes pacotes maliciosos com SYN e recebe respostas válidas. O servidor é sobrecarregado e novasrequisições válidasnão são realizadas com sucesso
SYN flood ou ataque SYN é uma forma de ataque de negação de serviço (também conhecido como Denial of Service - DoS) em sistemas computadorizados, na qualo atacante envia uma seqüência de requisições SYN para um sistema-alvo visando uma sobrecarga direta na camada de transporte e indireta na camada deaplicação do modelo OSI .
Quando um cliente tenta começar uma conexão TCP com um servidor, o cliente e o servidor trocam um série de mensagens, que normalmente são assim:
*. O cliente requisita uma conexão enviando um SYN ( synchronize ) ao servidor.
*. O servidor confirma esta requisição mandando um SYN-ACK ( acknowledge ) de volta ao cliente.
*. O cliente por sua vez responde com um ACK , e a conexão está estabelecida.
Isto é o chamado aperto demão em três etapas (Three-Way Handshake).
Um cliente malicioso, que implemente intencionalmente um protocolo TCP errado e incompleto,pode não mandar esta última mensagem ACK . O servidor irá esperar por isso por um tempo, já que um simples congestionamentode rede pode ser a causa do ACK faltante.
Esta chamada conexão semi-abertaexplora a boa-fé do protocolo TCP que espera por um certo tempo e algumas tentativas de restabelecimento de um sinal ACK válido para retomar a comunicação. A resposta maliciosa ao comando SYN gerada pelo cliente pode ocupar recursos no servidor (memória e processamento) ou causar prejuízos para empresas usando softwares licenciados por conexão(aumento de conexões"ativas"). Pode ser possível ocupar todos os recursos da máquina, com pacotesSYN. Uma vez que todos os recursos estejam ocupados,nenhuma nova conexão (legítima ou não) pode ser feita, resultando em negação de serviço. Alguns podem funcionar mal ou até mesmo travar se ficarem sem recursos desta maneira.
Algumas contra-medidas para este ataque são os SYN cookies . Apenas máquinas Sun e Linux usam SYN cookies.
Ao contrário do que muitospensam, não se resolve negação de serviço por Synflood limitando conexões por minuto (como usar o módulo limit ou recent do iptables), pois as conexões excedentes seriam descartadas pelo firewall, sendo que desta forma o próprio firewall tiraria o serviço do ar. Se eu, por exemplo, limito as conecões SYN a 10/seg, umatacante precisa apenas manter uma taxa de SYNs superior a 10/s para que conexõeslegítimas sejam descartadas pelo firewall. Ofirewall tornou a tarefa do atacante ainda mais fácil. Em "Iptables protege contra SYN Flood?" tem uma boa descrição dos motivos pelos quais uma configuração de firewall não resolve.
Um ataque de Syn Flood é feito com os ips forjados (spoof), para que o atacante não receba os ACKs de suas falsas solicitações. xtgem xtgem. 1
