aiutocomputerhelp
Sicurezza Informatica

SYN flood : Come ti addormento i servizi di un server

Giovanni Popolizio , , , , , , , , ,

SYN flood 

TCP SYN flood 

TCP SYN flood – ( Scegli sezione  rookie ) è un tipo di attacco DDoS (Distributed Denial of Service) che sfrutta parte del three-way handshake TCP per consumare risorse sul server target e renderlo non reattivo.

Essenzialmente, con i DDoS SYN flood, l’autore del reato invia le richieste di connessione TCP più velocemente di quanto il computer target le possa elaborare (possa farle decadere), causando la saturazione della rete.

  • Il client richiede la connessione inviando un messaggio SYN al server.
  • Il server conferma inviando un messaggio SYN-ACK  al client.
  • Il client risponde con un messaggio ACK  e la connessione viene stabilita.
  • In un attacco SYN flood, l’aggressore invia pacchetti SYN ripetuti a ogni porta del server mirato, spesso utilizzando un indirizzo IP falso. Il server, inconsapevole dell’attacco, riceve richieste multiple, apparentemente legittime, di stabilire una comunicazione. Risponde ad ogni tentativo con un pacchetto SYN-ACK da ogni porta aperta.
  • Il client dannoso non invia l’ACK previsto oppure, se l’indirizzo IP è stato spoofed, non riceve mai il SYN-ACK. In entrambi i casi, il server sotto attacco aspetterà per qualche tempo la conferma del suo pacchetto SYN-ACK.

 

Ricapitoliamo su  SYN flood

Un attacco SYN-flood DDoS sfrutta il processo di handshake a tre vie TCP (Transmission Control Protocol) inondando più porte TCP sul sistema di destinazione con messaggi SYN per avviare una connessione tra il sistema di origine e il sistema di destinazione.

SYN flood
SYN flood

Il sistema target risponde con un messaggio SYN-ACK  per ogni messaggi o SYN ricevuto e apre temporaneamente una porta di comunicazione per ogni tentativo di connessione in attesa di un ultimo messaggio ACK (conferma) dalla sorgente in risposta a ciascun messaggio SYN-ACK. La sorgente che attacca non invia mai i messaggi ACK finali e quindi la connessione non è mai completata. La connessione temporanea alla fine si esaurirà e verrà chiusa, ma non prima che il sistema di destinazione sia sovraccaricato di connessioni incomplete.

Modalità di attacco

I principali modi in cui avvengono gli attacchi di tipo SYN flood sono vari, e vengono descritti di seguito:

  • Attacco diretto

In questo tipo di attacco, l’attaccante invia richieste SYN multiple e in rapida successione, senza neanche nascondere il suo indirizzo IP. Per risultare più efficace l’attaccante può modificare il suo sistema in modo da non rispondere al SYN-ACK.

  • Attacco distribuito

L’attacco distribuito (Distribuited direct attacks) è un tipo di attacco che permette all’attaccante di utilizzare non più una singola macchina, ma fare affidamento a N macchine. Questo permette ad ogni singola macchina di sferrare un attacco diretto ricorrendo anche alla tecnica dello spoofing, con conseguente difficoltà da parte della vittima di difendersi da vari attacchi SYN flood. Al giorno d’oggi questi attacchi sono possibili poiché esistono reti di molte macchine, le cosiddette Botnet, che permettono ai vari cyber criminali di sferrare attacchi senza esser riconosciuti.

  • Spoofing attack

In questo tipo di attacco, l’attaccante ricorrendo all’utilizzo dello spoofing, riesce a creare una connessione (SYN request) con il server vittima, il quale risponde con un SYN-ACK. Il server tuttavia non riceverà mai una risposta da parte dell’attaccante, lasciando di conseguenza la connessione aperta e provocando la congestione del traffico sul server.

 

syn_flood_spoofed
SYN flood con  spoofing IP

Lo spoofing IP

Lo spoofing IP è la creazione di pacchetti IP utilizzando indirizzi sorgente IP precostruiti o random. Viene utilizzato per nascondere l’identità del mittente. Lo spoofing IP è utilizzato più frequentemente negli attacchi di  tipo denial of service. In tali attacchi, l’obiettivo degli aggressori è solo quello di generare pacchetti con una quantità enorme di traffico, e l’aggressore non si preoccupa di ricevere alcuna risposta al pacchetto IP.
Lo spoofing IP utilizza indirizzi IP randomizzati che diventa l’indirizzo di origine degli attacchi. Tali indirizzi  sono difficili da filtrare in quanto ogni pacchetto spoofed appare provenire sempre da un ip diverso, e in questo modo sono più difficili le contromisure.

 

ROOKIE

SYN flood

Immaginate di andare al vostro ristorante preferito e di trovare un gruppo di persone che entra, chiede un tavolo, ma poi se ne va immediatamente prima di sedersi. Poco dopo, altre persone entrano e fanno esattamente la stessa cosa. Questo continua all’infinito, impedendo ai veri clienti di ottenere un tavolo. Questo è ciò che succede in un attacco SYN flood nel mondo digitale.

Il SYN flood è un tipo di attacco informatico che sfrutta un punto debole nel modo in cui i computer comunicano tra loro su internet. Quando un computer vuole avviare una conversazione con un altro su internet, invia un messaggio chiamato “SYN”. Normalmente, il secondo computer risponde con un messaggio chiamato “SYN-ACK” per accettare la conversazione, e poi il primo computer risponde di nuovo per confermare. Questo è come un saluto iniziale prima di iniziare una conversazione reale.

In un attacco SYN flood, l’attaccante invia un sacco di richieste SYN, ma non risponde mai con la conferma finale. È come se qualcuno continuasse a bussare alla porta e scappasse ogni volta che vai ad aprire. Questo sovraccarica il computer destinatario perché tiene aperte tutte queste conversazioni non finite, aspettando risposte che non arriveranno mai. Di conseguenza, questo può impedire al computer di gestire richieste legittime, proprio come il ristorante che non può servire veri clienti a causa di tutte quelle false richieste.

Per difendersi da un attacco SYN flood, i computer e i server hanno strategie come limitare il numero di connessioni incomplete o usando strumenti che riconoscono e bloccano il traffico sospetto. È un po’ come un ristorante che decide di tenere solo un certo numero di tavoli per i clienti che hanno effettivamente iniziato a ordinare.

Il SYN flood è un ingegnoso, ma dannoso, modo di sovraccaricare un sistema informatico, impedendogli di svolgere le sue normali funzioni. Proprio come nella vita reale, dove è importante riconoscere e gestire le interferenze per assicurare un servizio efficiente, nel mondo digitale è fondamentale avere sistemi in atto per riconoscere e mitigare tali attacchi.

Lo spoofing IP

Immaginate di ricevere una lettera nella vostra cassetta postale. Sulla busta c’è scritto che proviene da un vostro amico, ma quando la aprite, scoprite che in realtà è stata inviata da qualcun altro che ha finto di essere il vostro amico. Questo è essenzialmente ciò che accade nello spoofing IP nel mondo digitale.

Lo spoofing IP si verifica quando qualcuno manda un messaggio su internet usando un indirizzo IP falso. L’indirizzo IP è come l’indirizzo di casa di un computer sulla rete, quindi falsificarlo significa fingere di essere qualcun altro.

Perché qualcuno farebbe questo? Ci sono diversi motivi. In alcuni casi, viene usato per attacchi informatici, come il DDoS, che è un po’ come mandare centinaia di lettere false a qualcuno, così tante che non riescono a gestirle tutte. Altre volte, può essere usato per aggirare i sistemi di sicurezza, che potrebbero bloccare il vero indirizzo IP dell’attaccante, ma non quello falso. Alcune persone lo usano anche per nascondere la propria identità o la propria posizione geografica.

Ma come si difendono le reti da questi attacchi? Beh, ci sono diversi modi. Uno è il filtraggio del traffico, che è come un postino esperto che riconosce una lettera sospetta. Un altro è l’analisi del traffico di rete, che è come osservare un flusso di lettere per capire se c’è qualcosa di insolito.

Tuttavia, lo spoofing IP ha le sue limitazioni. Per esempio, è difficile per chi lo fa ricevere una risposta, perché qualsiasi risposta andrebbe all’indirizzo IP falso, non a loro. Inoltre, con le moderne tecnologie di sicurezza, diventa sempre più difficile farlo senza essere scoperti.

Quidi , lo spoofing IP è un trucco che gli hacker usano per ingannare i computer e le reti, facendo credere che il traffico provenga da un’altra fonte. È importante essere consapevoli di queste tattiche e avere buone misure di sicurezza per proteggersi. Ma come con ogni forma di inganno, c’è sempre un modo per difendersi e tenersi un passo avanti.