Suchen

Anatomie eines DDoS-Angriffs - Teil 2: SYN Flood Anfragen überfluten Server

| Autor / Redakteur: Jim Öqvist, Check Point / Peter Schmitz

SYN Flood Attacken gehören durch ihr Alter zur Standardausrüstung eines Hackers und sind Teil eines jeden DDoS-Angriffs. Die Attacken richten sich gegen die Firewall und den Server, um diese mit Anfragen zu belasten, bis sie nicht mehr erreichbar sind.

Firma zum Thema

Bei einer SYN Flood Attacke senden Hacker eine große Menge an Anfragen pro Sekunde, ohne die Antwort des Server abzuwarten und brauchen so die Rechenleistung von Servern und Firewalls auf.
Bei einer SYN Flood Attacke senden Hacker eine große Menge an Anfragen pro Sekunde, ohne die Antwort des Server abzuwarten und brauchen so die Rechenleistung von Servern und Firewalls auf.
(Bild: Igor S. - Fotolia.com)

Bei einer SYN Flood Attacke verwendet der Hacker den Verbindungsaufbau des TCP-Protokolls mit einem Server, um entweder Dienste oder PCs aus dem Netzwerk auszuschließen.

Dabei wird nach dem zweiten der Dreiwege-Kommunikation die Antwort unterschlagen, die Firewall und der Server warten hier einige Zeit auf die Antwort, während der Hacker die Zeit nutzt, um noch weitere halb offene Verbindungen aufzubauen, bis beide überlastet und keine weiteren Zugriffe mehr möglich sind. So überladen werden die Firewall und der Server aufhören, ihren Dienst für ihre eigentlichen Nutzer zu leisten.

So verteidigt man sich gegen eine SYN Flood Attacke

Technisch: SYN Flood Attacken werden normalerweise als kleine Datenpakete generiert, die aber eine große Menge an SYN Anfragen pro Sekunde senden, um so Rechenleistung von Servern und Sicherheitssoftware wie Firewalls aufzubrauchen. Man kann sich gegen eine verteilte SYN Flood Attacke mit einer Firewall verteidigen, wenn diese so dimensioniert ist, dass sie mit mehreren Millionen Datenpaketen pro Sekunde fertig wird.

Allerdings ist ein solches Device üblicherweise sehr teuer und es ist vielleicht eine bessere Herangehensweise, ein speziell für diesen Fall gebautes Device zu nutzen. Solche Geräte werden extra mit einem Chipset dafür eingerichtet, um diese großen Mengen an SYN Anfragen zu bearbeiten.

Die Hardware ist so ausgelegt, dass bei der Authentifizierung von legitimen Clients in einer SYN Flood Attacke keine Performance Verluste auftreten, wenn die Attacken umgelenkt werden.

(ID:42267746)