Besuchen Sie uns auf der it-sa 2024!

Home>

SYN Flood

Beispiel Ansicht eines DDoS-Angriffs

Was ist eine SYN Flood?

Eine SYN Flood ist eine der häufigsten Formen von Denial-of-Service-Attacken. Die Angriffsmethode zielt darauf ab, ein Netzwerk oder einen Server mit einer Flut von SYN-Paketen zu überlasten und für legitime Nutzerinnen und Nutzer unerreichbar zu machen. Erfahren Sie, wie ein SYN-Flood-Angriff funktioniert, welche Gefahren er birgt und wie Sie Ihre Organisation effektiv schützen können.

 

SYN-Flood-Angriffe mit Myra abwehren

Auf einen Blick

  1. 1. SYN Flood: eine Definition
    1. 2. Wie funktioniert ein SYN-Flood-Angriff?
      1. 3. Welche Arten von SYN-Flood-Angriffen gibt es?
        1. 4. Welche Gefahren gehen von SYN-Flood-Angriffen aus? 
          1. 5. Wie können sich Organisationen vor SYN-Flood-Angriffen schützen? 
            1. 6. SYN Flood: Das müssen Sie wissen
              Hände die auf einen Laptop Bildschirm deuten

              01

              SYN Flood: eine Definition

              Eine SYN Flood ist ein netzwerkbasierter Angriff, der eine Schwachstelle im TCP-Verbindungsaufbau – dem sogenannten Threeway-Handshake (Drei-Wege-Handschlag) – ausnutzt, um Server mit einer Flut von Verbindungsanfragen zu überlasten. Der Angreifer sendet massenhaft SYN-Pakete an den Zielserver, ohne auf dessen Antworten zu reagieren. Dies führt zu einer großen Anzahl halboffener Verbindungen, die Serverressourcen binden und legitime Anfragen blockieren.

              02

              Wie funktioniert ein SYN-Flood-Angriff?

              Wollen Client und Server eine TCP-Verbindung aufbauen, so folgt der Ablauf dem sogenannten Threeway-Handshake (Drei-Wege-Handschlag). Dabei sendet der Client zunächst ein SYN-Paket (von „synchronize“, engl. für „abgleichen“) an den Server. Dieser antwortet mit einem SYN-ACK-Paket (von „acknowledge“, engl. für „bestätigen“). Um die Verbindung erfolgreich aufzubauen, muss der Client nun abschließend ein ACK-Paket an den Server senden, um die Bestätigung des Servers wiederum zu bestätigen. Bleibt die letzte ACK-Nachricht vom Client aus, entsteht eine halboffene Verbindung, bei der Ressourcen auf dem Server belegt werden, während dieser eine Zeit lang auf das ACK-Paket wartet.

              Bei einer SYN Flood wird der Server mit SYN-Nachrichten geflutet und durch dieses massenhafte Imitieren regulärer Verbindungsanfragen überlastet. Die Folge: Es können keine neuen Verbindungen mehr aufgebaut werden und der Server ist nicht mehr erreichbar.

              • SYN Flood

                Ablauf einer SYN-Flood-Attacke:

                 

                1. Der Angreifer sendet zahlreiche SYN-Pakete, meist mit gefälschten Quell-IP-Adressen.

                2. Der Server antwortet mit SYN-ACK-Paketen und wartet auf die bestätigenden ACK-Pakete der Clients.

                3. Die gefälschten Absender reagieren nicht, wodurch offene Verbindungen auf dem Server verbleiben.

                4. Der Server wird mit halboffenen Verbindungen überflutet und kann keine neuen Anfragen mehr verarbeiten, sodass er für legitime Nutzer:innen nicht mehr erreichbar ist.

              • SYN Flood

                Ablauf einer SYN-Flood-Attacke:

                 

                1. Der Angreifer sendet zahlreiche SYN-Pakete, meist mit gefälschten Quell-IP-Adressen.

                2. Der Server antwortet mit SYN-ACK-Paketen und wartet auf die bestätigenden ACK-Pakete der Clients.

                3. Die gefälschten Absender reagieren nicht, wodurch offene Verbindungen auf dem Server verbleiben.

                4. Der Server wird mit halboffenen Verbindungen überflutet und kann keine neuen Anfragen mehr verarbeiten, sodass er für legitime Nutzer:innen nicht mehr erreichbar ist.

              Welche Arten von SYN-Flood-Angriffen gibt es?

              SYN-Flood-Angriffe lassen sich in drei Hauptarten einteilen:

              Direkte SYN Flood

              Direkte SYN Flood

              Ein einzelner Angreifer sendet SYN-Pakete unter seiner eigenen IP-Adresse. Diese Angriffsmethode ist wenig effektiv, leicht nachverfolgbar und daher eher selten.

              SYN Flood IP-Spoofing

              SYN Flood mit IP-Spoofing

              Der Angreifer nutzt gefälschte Quell-IP-Adressen, um die Rückverfolgung sowie die Differenzierung zwischen legitimem und bösartigem Datenverkehr zu erschweren.

              Botnet

              DDoS SYN Flood

              Hierbei verwendet der Angreifer meist ein Botnet, um SYN-Pakete von vielen verschiedenen IP-Adressen gleichzeitig zu senden. Dies erschwert die Erkennung und Abwehr erheblich.

              04

              Welche Gefahren gehen von SYN-Flood-Angriffen aus? 

              SYN-Flood-Angriffe stellen eine ernstzunehmende Bedrohung für die Verfügbarkeit und Leistungsfähigkeit von Netzwerken und Serversystemen dar. Die Auswirkungen einer nicht abgewehrten SYN Flood können schwerwiegend sein:

                Störungen oder Ausfälle

                Finanzielle Verluste

                Reputationsschäden

                Folgeangriffe

                Compliance-Verstöße

              • Finanzielle Verluste

                Finanzielle Verluste

                Ausfallzeiten von Servern und Diensten können direkte finanzielle Schäden verursachen. So kostet zum Beispiel jede Minute Ausfallzeit E-Commerce-Anbieter bares Geld. Hinzu kommen indirekte Kosten durch die Abwanderung von Kunden.

              • Reputationsschäden

                Reputationsschäden

                Wird nach einem Angriff bekannt, dass das Ziel im Vorfeld nur unzureichende Sicherheitsvorkehrungen zur Abwehr getroffen hat, kann dies den Ruf einer Organisation nachhaltig schädigen und wiederum zur Abwanderung von Kunden führen.

              • Folgeangriffe

                Folgeangriffe

                SYN Floods können als Ablenkungsmanöver für andere Cyberangriffe dienen. Während das Sicherheitsteam der betroffenen Organisation mit der Abwehr des DDoS-Angriffs beschäftigt ist, führen Angreifer unbemerkt weitere Attacken durch, etwa um Daten zu stehlen oder zu verschlüsseln.

              • Compliance-Verstöße

                Compliance-Verstöße

                Ausfälle durch Angriffe können zu Verletzungen von Service Level Agreements (SLAs) führen, was wiederum Kosten verursacht. Bei Verstößen gegen gesetzliche oder regulatorische Vorgaben drohen sogar rechtliche Konsequenzen, z.B. wenn sensible Daten von dem Angriff betroffen sind.

              Die Security-as-a-Service-Lösungen von Myra schützen Ihre Infrastrukturen zuverlässig vor SYN-Flood-Angriffen und anderen Bedrohungen. Verteidigen Sie kritische Geschäftsprozesse proaktiv, nachhaltig und Compliance-konform.

              Jetzt kostenlose Demo anfordern

              05

              Wie können sich Organisationen vor SYN-Flood-Angriffen schützen? 

              Um Ihre Organisation vor SYN Floods zu schützen, empfehlen sich unter anderem folgende Maßnahmen:

              • Nutzung eines Intrusion Detection System (IDS) oder einer Firewall: IDS und moderne Firewalls analysieren den Datenverkehr in Echtzeit und erkennen verdächtige Angriffsmuster wie SYN Floods. Sie können schädliche Verbindungen automatisch blockieren und die Sicherheitsteams alarmieren. Voraussetzung dafür ist jedoch eine fortlaufende Anpassung der Blockierregeln, was hohen Aufwand verursacht und entsprechendes Know-how erfordert.

              • Vergrößern der Backlog-Warteschlange: Das SYN-Backlog enthält die Informationen zur Herstellung einer TCP-Verbindung. Durch das Erhöhen der Kapazität der Backlog-Warteschlange können mehr Verbindungen gespeichert werden, was dem Server mehr Zeit gibt, Anfragen zu verarbeiten und Überlastungen zu vermeiden. Allerdings belegt jeder Eintrag im Backlog eine gewisse Menge Arbeitsspeicher, so dass die Wirkung dieser Abwehrmethode beschränkt ist.

              • Recycling der ältesten halboffenen TCP-Verbindung: Bei Erreichen der Kapazitätsgrenze des SYN-Backlog schließt der Server die älteste halboffene Verbindung und löscht sie aus dem Backlog, um Platz für neue Verbindungen zu schaffen. Bei hohen Angriffsvolumen stößt diese Schutzmaßnahme aber schnell an ihre Grenzen.

              • Aktivierung von SYN-Cookies: SYN-Cookies verhindern, dass der Server bei jeder neuen SYN-Anfrage Ressourcen für halboffene Verbindungen reserviert. Stattdessen generiert er ein SYN-Cookie, das als initiale Sequenznummer im SYN-ACK-Paket an den Client zurückgesendet wird. Kryptografisches Hashing stellt dabei sicher, dass der Angreifer die Sequenznummer nicht erraten kann. Erst wenn der Client mit einem ACK-Paket geantwortet und der Server die Gültigkeit des Cookies verifiziert hat, wird die Verbindung aufgebaut und Ressourcen reserviert. Diese Methode bietet Schutz vor SYN Floods, kann unter Umständen aber zu Performance-Einbußen führen.

              • Einsatz von Anycast-Netzwerken: Anycast verteilt eingehenden Datenverkehr auf mehrere geografisch getrennte Server und Rechenzentren. Dadurch wird die Last auf verschiedene Standorte aufgeteilt, was die Resilienz des Netzwerks erhöht und die Wahrscheinlichkeit eines Serverausfalls reduziert.

              • Nutzung dedizierter DDoS-Schutzlösungen: DDoS-Schutzlösungen von spezialisierten IT-Sicherheitsdienstleistern erkennen SYN Floods und weitere Bedrohungen durch schädliche Traffic-Ströme in Echtzeit und blockieren schädliche Anfragen, bevor sie das Zielsystem erreichen. Diese Lösungen sind hochskalierbar und können selbst schwere Angriffe, die die Netzwerkkapazitäten der betroffenen Infrastruktur übersteigen, effizient abwehren.

              Produkt DDoS Protection Layer 7

              06

              SYN Flood: Das müssen Sie wissen

              SYN-Flood-Angriffe sind eine verbreitete Form von DDoS-Attacken, welche das TCP-Handshake-Verfahren ausnutzen, um Server gezielt zu überlasten. SYN Floods können in verschiedenen Varianten auftreten, von direkten Angriffen bis hin zu komplexen, verteilten Attacken mit gefälschten IP-Adressen. Indem Sie proaktiv Vorkehrungen gegen solche Cyberbedrohungen treffen, reduzieren Sie das Risiko von teuren Dienstausfällen und schützen die Kontinuität Ihres Geschäftsbetriebs.

               

              Investitionen in effektive Sicherheitsmaßnahmen wie eine dedizierte DDoS-Schutzlösung zahlen sich langfristig aus und stärken das Vertrauen Ihrer Kunden in die Zuverlässigkeit Ihrer digitalen Dienste.

              © Myra Security GmbH 2024, alle Rechte vorbehalten

              Responsible DisclosureImpressumDatenschutzPrivatsphäre-EinstellungenAGB