Glossar / SYN Flood Angriff

SYN Flood Angriff

  • Fabian Sinner
  • November 10, 2023

Inhaltsverzeichnis

    SYN Flood Angriff

    Ein SYN Flood Angriff ist eine Form des Denial-of-Service (DoS) Angriffs, bei dem der Angreifer versucht, einen Server oder ein Netzwerk durch Überlastung mit einer Flut von SYN-Paketen außer Betrieb zu setzen. Dieser Angriff nutzt ein Merkmal des TCP-Handshakes, der Methode, mit der Netzwerkgeräte eine Verbindung für die Kommunikation herstellen.

    Was ist ein SYN Flood Angriff?

    Um die Funktionsweise eines SYN Flood Angriffs zu verstehen, ist es wichtig, den normalen TCP-Handshake-Prozess zu kennen, der in drei Schritten abläuft:

    1. SYN: Der Client sendet ein SYN-Paket (Synchronize) an den Server, um eine Verbindung herzustellen.
    2. SYN-ACK: Der Server antwortet mit einem SYN-ACK-Paket (Synchronize-Acknowledge), um zu bestätigen, dass er das SYN-Paket erhalten hat und bereit ist, eine Verbindung aufzubauen.
    3. ACK: Der Client sendet ein ACK-Paket (Acknowledge) zurück an den Server, um die Empfangsbestätigung des SYN-ACK zu bestätigen, und damit ist die Verbindung hergestellt.

    Bei einem SYN Flood Angriff sendet der Angreifer jedoch in hoher Geschwindigkeit und in großer Zahl SYN-Pakete an den Zielserver, ohne je die Verbindung mit einem ACK-Paket zu vollenden. Der Server wartet nach dem Empfang jedes SYN-Pakets auf das entsprechende ACK, um den Handshake abzuschließen. In der Zwischenzeit reserviert der Server Ressourcen und hält diese „halb offenen“ Verbindungen in einer Warteschlange.

    Da keine abschließenden ACK-Pakete empfangen werden, sammeln sich immer mehr halb offene Verbindungen an, bis die Ressourcen des Servers erschöpft sind. Schließlich ist der Server nicht mehr in der Lage, legitime Anfragen zu bearbeiten, weil er mit den falschen SYN-Anfragen überlastet ist. Das führt dazu, dass legitime Benutzer keinen Zugriff mehr auf den Server haben, was das Ziel des DDoS-Angriffs ist.

    Wie funktioniert ein SYN Flood Angriff?

    Ein SYN Flood (DDoS) Angriff nutzt also eine Schwäche im Drei-Wege-Handshake des TCP-Protokolls aus, um einen Server oder Dienst unzugänglich zu machen. Ein Angriff läuft typischerweise wie folgt ab:

    • Missbrauch des Handshake-Vorgangs: Bei einem SYN Flood Angriff sendet der Angreifer massenhaft SYN-Pakete an den Zielserver, oftmals mit gefälschten Absender-IP-Adressen. Der Server, der diese Anfragen als legitim betrachtet, antwortet mit SYN-ACK-Paketen an die gefälschten Adressen.
    • Ressourcenerschöpfung: Für jede empfangene SYN-Anfrage allokiert der Server Ressourcen, um die angeforderte Verbindung offen zu halten, in der Erwartung, dass das abschließende ACK-Paket empfangen wird. Dieser Zustand wird als „halb offen“ bezeichnet, weil die Verbindungseinrichtung noch nicht abgeschlossen ist. Da die ACK-Pakete jedoch nie eintreffen (die Absenderadressen sind entweder gefälscht oder die Anfragen werden absichtlich nicht vervollständigt), bleiben diese halb offenen Verbindungen bestehen und der Server wartet vergeblich auf ihre Vollendung.
    • Backlog-Überlauf: Server haben eine begrenzte Kapazität für halb offene Verbindungen. Wenn ein SYN Flood Angriff diese Kapazität übersteigt, kann der Server keine neuen, legitimen Verbindungen mehr aufbauen, weil sein Backlog von halb offenen Verbindungen voll ist. Neue Verbindungsanfragen werden entweder verzögert oder komplett abgelehnt.
    • Dienstausfall: Durch die Überlastung mit falschen SYN-Anfragen werden die Ressourcen des Servers (wie Bandbreite, CPU oder Speicher) erschöpft, was dazu führt, dass legitime Nutzeranfragen nicht mehr bearbeitet werden können und der Dienst für sie nicht verfügbar ist.

    Ein SYN Flood Angriff kann deshalb effektiv sein, weil er die Asymmetrie des Ressourcenverbrauchs zwischen einem Client und einem Server ausnutzt – der Angreifer muss nur kleine SYN-Pakete senden, wohingegen der Server relativ viel mehr Ressourcen aufwenden muss, um auf jede Anfrage zu reagieren und die Verbindung aufrechtzuerhalten.

    Welche Angriffsarten gibt es?

    Unterschieden wird zwischen drei grundlegenden Arten. Bei einem direkten SYN Flood Angriff sendet ein einzelner Angreifer eine Flut von SYN Paketen an den Zielserver. Dies kann mit einem leistungsstarken Computer oder einem Server mit einer hohen Bandbreitenverbindung durchgeführt werden. Da die Anfragen bei dieser Art von Angriff von einer einzigen Quelle kommen, kann der Angriff relativ leicht erkannt und blockiert werden.

    Bei einem verteilten SYN Flood Angriff (Distributed SYN Flood) senden mehrere Rechner (Botnetz) gleichzeitig SYN Pakete an den Zielserver. Diese Angriffe sind schwerer zu erkennen und zu bekämpfen. Sie erfordern fortgeschrittenere Techniken wie IP-Verifikation und Anomalie-Erkennung.

    Die dritte Möglichkeit ist ein Spoofed SYN Flood Angriff. Hierbei werden die IP-Adressen der SYN-Pakete gefälscht, sodass sie scheinbar von verschiedenen Quellen kommen. Dies erschwert die Rückverfolgung der Angriffsquelle und die Differenzierung zwischen legitimem und gefälschtem Datenverkehr.

    Wie kann ein SYN Flood Angriff abgewehrt werden?

    Die Abwehr von SYN Flood (DDoS) Angriffen kann eine Herausforderung sein, aber es gibt mehrere Techniken und Strategien, die verwendet werden können, um die Auswirkungen dieser Angriffsart zu minimieren oder zu verhindern. Dies sind einige Methoden zur Abwehr von SYN Flood Angriffen:

    • Erhöhung der Backlog-Kapazität: Durch das Erhöhen der Anzahl der möglichen halb offenen Verbindungen (Backlog) kann ein Server mehr SYN-Anfragen handhaben, bevor er überlastet wird.
    • Reduzierung der SYN-Received Timeout: Server können so konfiguriert werden, dass sie die Wartezeit auf das abschließende ACK in einer TCP-Verbindung verringern. Das beschleunigt das Schließen von unvollständigen Verbindungen und verringert die Chance, dass ein Angreifer das System überlastet.
    • SYN-Cookies: Anstatt Ressourcen für jede eingehende SYN-Anfrage zu reservieren, sendet der Server eine kryptographische Antwort zurück. Nur wenn eine gültige Antwort vom Client zurückkommt, wird die Verbindung vollständig aufgebaut.
    • Hybride Firewalls und Intrusion Prevention Systems (IPS): Moderne Firewalls und IPS können verdächtige Anstiege von SYN-Anfragen erkennen und filtern, was helfen kann, die Last von einem Zielserver fernzuhalten.
    • Rate Limiting: Eine Begrenzung der Anzahl der SYN-Anfragen, die von einer einzelnen Quelle angenommen werden, kann helfen, Angriffe zu mildern.
    • Blacklisting: Das sofortige Blockieren von IP-Adressen, die für das Senden von SYN-Anfragen in einem ungewöhnlichen oder verdächtigen Muster erkannt wurden.
    • Anycast Network Distribution: Verteilung des Datenverkehrs auf mehrere Server oder Datenzentren.
    • Direct Server Return (DSR): Konfiguration der Load Balancer so, dass Antworten direkt an den Client zurückgehen, ohne den Load Balancer zu passieren, um Ressourcen zu sparen.
    • Cloud-basierte DDoS-Mitigation Services: Nutzung von Diensten, die darauf spezialisiert sind, Angriffe zu erkennen und zu filtern, bevor sie das Zielnetzwerk erreichen.

    Häufig werden mehrere Ansätze kombiniert, um die bestmögliche Verteidigung gegen SYN Flood Angriffe zu gewährleisten. Es ist außerdem entscheidend, dass Netzwerke und Server ständig überwacht und aktualisiert werden, um sicherzustellen, dass sie gegen die neuesten Arten von Angriffen gewappnet sind.

    Eine professionelle DDoS-Schutzlösung ist der übliche Weg, um sich effektiv gegen solche Attacken abzusichern. Vor allem KI-basierte Systeme sind in der Lage, solche Übergriffe schnell zu erkennen und zu mitigieren, bevor es zu Schäden auf Ihrer Seite kommt.

    Sollten Sie Fragen zu solch einer spezialisierten Lösung haben, stehen Ihnen unsere Cyberexperten jederzeit zur Seite und beraten Sie unverbindlich zu einer maßgeschneiderten Implementation.

    Jetzt kontaktieren >>

    DDoS-Umfrage: Mehrheit der Hosting-Provider rechnet mit steigender DDoS-Gefahr
    Die 7 größten Missverständnisse über DDoS-Attacken
    X