Ein SYN-Flooding ist eine Form der Denial-of-Service-Attacke (DoS), bei der ein Angreifer versucht, einen Server oder ein Netzwerkgerät mit einer Flut von SYN-Paketen zu überlasten. Diese Art von Angriff zielt auf die Schwachstellen im Drei-Wege-Handshake des TCP/IP-Protokolls ab, einem grundlegenden Mechanismus für den Aufbau von TCP-Verbindungen im Internet.
Funktionsweise des Drei-Wege-Handshakes
Um die Funktionsweise von SYN-Flooding zu verstehen, ist es hilfreich, den normalen Prozess des Drei-Wege-Handshakes im TCP/IP-Protokoll zu kennen:
- SYN: Der Client sendet ein SYN-Paket (Synchronize Sequence Numbers) an den Server, um eine Verbindung anzufordern.
- SYN-ACK: Der Server antwortet mit einem SYN-ACK-Paket (Synchronize-Acknowledge), um die Anfrage zu bestätigen und seine Bereitschaft zur Verbindungsaufnahme zu signalisieren.
- ACK: Der Client sendet ein ACK-Paket (Acknowledge) zurück an den Server, um den Empfang des SYN-ACK-Pakets zu bestätigen und die Verbindung zu etablieren.
Ablauf eines SYN-Flooding-Angriffs
Bei einem SYN-Flooding-Angriff sendet der Angreifer massenhaft SYN-Pakete an den Zielserver, ohne jedoch die Verbindung mit den entsprechenden ACK-Paketen zu vervollständigen. Die IP-Adressen, von denen die SYN-Pakete gesendet werden, sind oft gefälscht (Spoofing), was es dem Server erschwert, die Quelle des Angriffs zu identifizieren und zu blockieren. Der Server hält Ressourcen für jede halboffene Verbindung frei, indem er für jede ankommende SYN-Anfrage einen Eintrag in seiner Halbverbindungstabelle (auch bekannt als SYN-Queue) erstellt, um auf das finale ACK-Paket zu warten.
Folgen eines SYN-Flooding-Angriffs
Durch die große Anzahl an gefälschten Verbindungsanfragen kann der Zielserver schnell seine Kapazitätsgrenzen für neue Verbindungen erreichen. Dies führt dazu, dass legitime Verbindungsanfragen abgewiesen werden, da der Server keine Ressourcen mehr frei hat, um auf weitere Anfragen zu reagieren. Infolgedessen wird der Dienst für legitime Nutzer unerreichbar, was das Ziel eines Denial-of-Service-Angriffs darstellt.
Schutzmaßnahmen gegen SYN-Flooding
Um sich gegen SYN-Flooding zu schützen, setzen Netzwerkadministratoren und Sicherheitsexperten verschiedene Strategien ein:
- Erhöhung der Größe der SYN-Queue: Damit der Server mehr halboffene Verbindungen verwalten kann.
- Verkürzung der Timeout-Zeit für SYN-ACK-Pakete: Nicht abgeschlossene Verbindungen werden schneller aufgelöst, um Ressourcen freizugeben.
- Einsatz von SYN-Cookies: Eine Technik, um den Zustand der halboffenen Verbindungen ohne Speicherung in der SYN-Queue zu verwalten.
- Filterung und Rate Limiting: Identifizierung und Begrenzung von verdächtigem Verkehr, der auf einen SYN-Flooding-Angriff hindeuten könnte.
Durch die Kombination dieser und weiterer Maßnahmen können Unternehmen und Organisationen die Auswirkungen von SYN-Flooding-Angriffen abmildern und die Verfügbarkeit ihrer Dienste aufrechterhalten.
