Definition

Inundación SYN

Una inundación SYN (SYN flooding) es un método que el usuario de un programa cliente hostil puede utilizar para llevar a cabo un ataque de denegación de servicio (DoS) en un servidor informático. El cliente hostil envía repetidamente paquetes SYN (sincronización) a cada puerto en el servidor, usando direcciones IP falsas, lo que resulta en una sobrecarga de información en el sistema y que el servidor ralentice su respuesta al tráfico legítimo o deje de responder por completo.

Esto es posible ya que los ataques SYN atacan el proceso de enlace con la conexión TCP. Para comprender la mecánica de este tipo de ataques, Cloudfare lo ilustra de la siguiente manera:

En circunstancias normales, la conexión TCP exhibe tres procesos distintos para poder lograrse.

  1. En primer lugar, el cliente envía un paquete SYN al servidor para poder iniciar la conexión.
  2. En segundo lugar, el servidor responde a ese paquete inicial con un paquete SYN/ACK para poder reconocer la comunicación.
  3. En último lugar, el cliente devuelve un paquete ACK para confirmar la recepción del paquete del servidor. Después de completar esta secuencia de envío y recepción de paquetes, la conexión TCP se abre y es capaz de enviar y recibir datos.

El cliente hostil hace que todas las solicitudes SYN parezcan válidas, pero ya que las direcciones IP son falsas, es imposible que el servidor cierre la conexión mediante el envío de paquetes RST de vuelta al cliente hostil. En cambio, la conexión permanece abierta. Antes de que pueda producirse un tiempo de espera, otro paquete SYN llega desde el cliente hostil. Una conexión de este tipo se denomina conexión medio abierta. En estas condiciones, el servidor se vuelve completamente o casi completamente ocupado con el cliente hostil. Las comunicaciones con los clientes legítimos son difíciles o imposibles.

Un cliente hostil puede explotar conexiones medio abiertas y posiblemente obtener acceso a los archivos del servidor. A la transmisión de paquetes SYN por un cliente hostil para el propósito de encontrar puertos abiertos y hackear uno o más de ellos, se le llama análisis SYN. Un cliente hostil siempre sabe si un puerto está abierto cuando el servidor responde con un paquete SYN/ACK.

Existen tres tipos principales de ataques SYN:

  1. Ataque directo — el atacante no esconde su IP original.
  2. Ataque con suplantación — se crean múltiples direcciones IP falsas.
  3. Ataque distribuido (DDoS) aprovecha los bots para hacer difícil el rastreo del origen del ataque.

Los ataques SYN pueden mitigarse de las siguientes formas:

  • Aumentando la cola de registros — al incrementar el backlog máximo, se puede garantizar espacio para el tráfico de usuarios legítimos en medio de un ataque.
  • Reciclando la conexión TCP — se refiere a sobrescribir la conexión medio abierta más antigua una vez se haya completado el backlog, con el fin de establecer conexiones con usuarios legítimos en un tiempo menor del que necesitaría el backlog para llenarse de paquetes SYN.
    • Cookies — esta cookie elimina gran parte del backlog y lo reconstruye únicamente cuando se ha confirmado que la solicitud es legítima.
Este contenido se actualizó por última vez en julio 2021

Investigue más sobre Políticas y concientización