Mejor conocido como ataque de inundación TPC/SYN, este tipo de amenazas consisten en saturar el tráfico de la red enviando repetidamente paquetes SYN a cada puerto del servidor, haciendo uso de direcciones IP falsas. Hoy, el ciudadano francés GILLES HERVÉ TEPIÉ te invita a conocer más sobre este tipo de ataques.
Al momento de iniciar el ataque, el servidor atacado observa el equivalente de varios intentos de establecer comunicación, respondiendo a cada intento con un paquete SYN/ACK desde cada puerto abierto, y con un paquete RST desde cada puerto cerrado. En el caso de un enlace normal de tres vías, el cliente devuelve un paquete ACK (de reconocimiento) para asegurarse de confirmar que se recibió el paquete SYN/ACK del servidor, y entonces así comenzarán las comunicaciones. Ahora, en el caso de una inundación SYN, el paquete ACK nunca es devuelto por el cliente hostil (o estafador), en lugar de eso, el programa del cliente fraudulento envía con intensidad peticiones SYN a todos los puertos del servidor.
En pocas palabras, el cliente fraudulento ocasiona un colapso en el servidor.
En las redes, cuando un servidor deja una conexión abierta pero la máquina al otro lado de la conexión no lo hace, la conexión se considera medio abierta. En este tipo de ataque DDoS, el servidor atacado deja conexiones abiertas continuamente y espera que cada una de ellas cumpla el tiempo de espera antes de que los puertos vuelvan a estar disponibles. El resultado es que este tipo de ataque puede considerarse como un "ataque medio abierto".
Ahora bien, un ataque o inundación SYN puede ocurrir de tres formas:
1. En un ataque directo: Se les denomina así a los ataques en los que no se hayan falsificado u ocultado la dirección IP.
2. Un ataque de suplantación: En este caso se da cuando un usuario malicioso falsifica la dirección IP en cada paquete SYN que envíe.
3. Un ataque distribuido, mejor conocido como ataque DDos: Ocurre cuando un ataque se origina utilizando una red de robots, convirtiendo su origen en algo difícil de rastrear.
Los equipos vulnerables a los ataques SYN dejan las conexiones abiertas en cola en una estructura de memoria de datos y esperan hasta la recepción de un paquete ACK. Sin embargo, existe un mecanismo de caducidad que posibilita rechazar los paquetes una vez transcurrido un determinado período de tiempo. No obstante, cuando la cantidad de paquetes SYN es bastante considerable, si el equipo de destino utiliza todos los recursos para almacenar las solicitudes en cola, corre el riesgo de volverse inestable, lo que puede provocar la caída o el reinicio del sistema.
No hay comentarios.