2

Qu’est-ce qu’une attaque SYN Flood ?

Vues : 238

3 min read
5
(5)

Une attaque SYN flood (attaque semi-ouverte) est un type d’attaque par déni de service (DDoS) qui vise à rendre un serveur indisponible pour le trafic légitime en consommant toutes les ressources serveur disponibles.

Progression of a SYN flood.

Three-way handshake

L’attaque SYN Flood exploite le principe du three-way handshake du protocole TCP.

Lors d’une connexion classique entre un client et un serveur il y a 3 étapes :

✅ Le client envoie un paquet SYN.

✅ Le serveur répond ensuite avec un paquet SYN-ACK accusant la réception.

✅ Le client envoie un paquet ACK et la connexion TCP est donc établie.


Déroulement de l’attaque

En envoyant à plusieurs reprises des paquets de demande de connexion initiale (SYN), l’attaquant est en mesure de submerger tous les ports disponibles sur une machine serveur ciblée, ce qui oblige l’appareil ciblé à répondre lentement au trafic légitime, ou l’empêche totalement de répondre.

SYN flood — Wikipédia

Les SYN Flood sont fréquemment effectuées par des bots se connectant à partir d’adresses IP usurpées afin de rendre l’attaque plus difficile à identifier et à atténuer. Les botnets peuvent lancer des SYN Flood en tant qu’attaques par déni de service distribué (DDoS).


Voilà un exemple d’attaque SYN Flood & DNS Flood:

Imperva mitigates a 38 day-long SYN flood and DNS flood multi-vector DDoS attack.
Imperva mitigates a 38 day-long SYN flood and DNS flood multi-vector DDoS attack.

Protéger votre serveur contre le SYN Flood

Dans cet exemple, nous avons deux machines en local :

⭐ Une machine attaquante : 192.168.1.27

⭐Une machine victime : 192.168.1.23


Avant de vouloir protéger notre machine, nous allons voir un filtre wireshark nous permettant de détecter une attaque SYN Flood.

tcp.flags.syn == 1 and tcp.flags.ack == 0

Comme nous pouvons le voir, nous avons un très grand nombre de paquets SYN en destination de notre victime qui est 192.168.1.23 et en provenance d’adresse IP usurpées.


Nous pouvons aussi détecter une attaque SYN Flood à l’aide de la commande suivante qui va nous renvoyer le nombre de connexion dans l’état SYN_RECV :

netstat -npt | awk '{print $6}' | sort | uniq -c | sort -nr | head

Il est temps d’ajouter des paramètres nous permettant de limiter ce type d’attaque.

Dans un premier temps, nous allons travailler avec le fichier /etc/sysctl.conf puis changer les variables suivantes :

net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 2048
net.ipv4.tcp_synack_retries = 3
net.ipv4.conf.all.rp_filter = 1

Pour plus d’informations sur ces dernières je vous recommande cet article.


Nous pouvons également mettre en place des règles iptables permettant de limiter ceci comme par exemple :

# Création d'une nouvelle chaîne nommée syn_flood
iptables -N syn_flood

# Match les segments TCP pour cette dernière
iptables -A INPUT -p tcp --syn -j syn_flood

# Si la limite match alors on continue à lire les autres règles
iptables -A syn_flood -m limit --limit 1/s --limit-burst 3 -j RETURN

# Si ça ne match pas on drop le paquet
iptables -A syn_flood -j DROP

Après avoir mis en place ceci on constate que la chaîne syn_flood commence à DROP des paquets.


Sources :

  • cloudflare
  • f5.com
  • linoxide.com

Quelle note mérite cet article ?

Average rating 5 / 5. Vote count: 5

No votes so far! Be the first to rate this post.

S’abonner
Notification pour
guest
2 Commentaires
Le plus ancien
Le plus récent Le plus populaire
Commentaires en ligne
Afficher tous les commentaires
Ahriman
Invité
Ahriman
7 mois il y a

👍

Greem75
Invité
Greem75
7 mois il y a

Au Top!