attaque par inondation TCP SYN

Détails
Catégorie : typologie des attaques réseau
Affichages : 80

Une attaque par inondation TCP SYN, également connue sous le nom de SYN Flood, est une forme courante d'attaque de déni de service (DoS) visant à submerger un serveur avec un grand nombre de demandes de connexion TCP SYN, ce qui peut épuiser ses ressources système et le rendre indisponible pour les utilisateurs légitimes. Voici comment fonctionne une attaque par inondation TCP SYN :

  1. Établissement de la connexion TCP : Lorsqu'un client souhaite établir une connexion TCP avec un serveur, il envoie une demande SYN (synchronize) au serveur. Le serveur répond alors avec un SYN-ACK (synchronize-acknowledgment), indiquant qu'il est prêt à établir une connexion.

  2. Absence de réponse ACK : Normalement, le client envoie un ACK (acknowledgment) pour confirmer la réception du SYN-ACK, et la connexion est établie avec succès. Cependant, dans une attaque par inondation SYN, le client ne répond pas avec un ACK après avoir reçu le SYN-ACK.

  3. Réception continue de demandes SYN : Le serveur reste en attente d'un ACK qui ne vient jamais, ce qui entraîne l'ouverture de connexions en attente (half-open connections) qui consomment des ressources système. L'attaquant envoie continuellement de nouvelles demandes SYN, remplissant ainsi la file d'attente des connexions en attente et épuisant les ressources du serveur.

  4. Surchargement des ressources : Avec un grand nombre de connexions en attente, le serveur peut épuiser ses ressources système telles que les tables de connexion, les tampons de mémoire ou les capacités de traitement. Cela peut entraîner une diminution des performances du serveur voire son indisponibilité complète pour les utilisateurs légitimes.

Les attaques par inondation TCP SYN sont particulièrement efficaces car elles exploitent une faiblesse inhérente au protocole TCP. Les attaquants peuvent utiliser des techniques telles que la falsification d'adresses IP source pour rendre plus difficile la traçabilité de l'origine des attaques. Pour se protéger contre les attaques par inondation TCP SYN, les organisations peuvent mettre en œuvre des solutions de mitigation DDoS, telles que les systèmes de détection et de prévention des intrusions (IDS/IPS), les pare-feu à état, ou des services de mitigation DDoS externes. De plus, la configuration appropriée des paramètres TCP, tels que le réglage des valeurs de timeout de connexion et l'utilisation de listes de contrôle d'accès (ACL), peut aider à atténuer les effets des attaques par inondation TCP SYN.