Ein SYN-Flooding ist eine Art von Denial-of-Service-Angriff (DoS), der darauf abzielt, einen Server oder einen Dienst im Netzwerk unerreichbar zu machen, indem er den Verbindungsaufbau des TCP-Protokolls ausnutzt. TCP ist ein verbindungsorientiertes Protokoll, das heißt, bevor Daten zwischen zwei Parteien ausgetauscht werden können, muss eine Verbindung hergestellt werden. Dies geschieht durch einen sogenannten Drei-Wege-Handshake, der folgendermaßen abläuft:
- Der Client sendet ein SYN-Paket an den Server, um eine Verbindung anzufordern.
- Der Server antwortet mit einem SYN-ACK-Paket, um die Anfrage zu bestätigen und reserviert Ressourcen für die Verbindung.
- Der Client sendet ein ACK-Paket an den Server, um die Verbindung zu vervollständigen.
Bei einem SYN-Flooding sendet der Angreifer viele SYN-Pakete an den Server, aber keine ACK-Pakete. Dadurch entstehen viele halboffene Verbindungen auf dem Server, die Ressourcen belegen und andere legitime Anfragen blockieren. Der Server wird so überlastet, dass er nicht mehr reagieren kann.
Es gibt verschiedene Varianten von SYN-Flooding, die unterschiedliche Ziele und Methoden haben. Zum Beispiel kann der Angreifer gefälschte IP-Adressen verwenden, um seine Identität zu verschleiern oder andere Systeme als Reflektoren zu missbrauchen. Außerdem kann der Angreifer mehrere Systeme koordinieren, um einen verteilten Angriff (DDoS) durchzuführen.
Um sich vor SYN-Flooding zu schützen, gibt es verschiedene Gegenmaßnahmen, die auf verschiedenen Ebenen des Netzwerks angewendet werden können. Zum Beispiel kann man die Größe des SYN-Backlogs erhöhen, um mehr Verbindungsanfragen zu verarbeiten, oder die ältesten halboffenen Verbindungen recyceln, um Platz für neue zu schaffen. Eine weitere Möglichkeit ist die Verwendung von SYN-Cache oder SYN-Cookies, um die Ressourcenreservierung zu verzögern oder zu vermeiden. Schließlich kann man auch einen cloudbasierten Mitigation Service nutzen, der den Datenverkehr filtert und nur legitime Anfragen an den Server weiterleitet.