SYN Flood to atak protokolarny, jeden z głównych rodzajów ataków DoS/DDoS. Polega na zalewaniu serwera dużą liczbą żądań TCP do momentu, aż nie będzie on w stanie przetworzyć nowych połączeń, a dotychczasowo nawiązane znacznie spowolnią. Ostatecznym celem ataku jest uniemożliwienie korzystania z danej usługi przez pożądanych klientów.

SYN Flood jest często składową większych kampanii ataków, wykorzystujących także inne metody. Jednym z przykładów takich działań jest incydent z 2022 roku. Akamai, firma zajmująca się obsługą ruchu sieciowego, zablokowała wówczas jeden z największych ataków horyzontalnych DDoS, jakie miały miejsce w Europie. Wykorzystano do tego platformę Prolexic. Hakerzy dokonali rozproszonego ataku na wiele adresów IP klienta. Cała kampania składała się z 75 różnych ataków w czasie zaledwie 30 dni. Atakujący wykorzystali zarówno techniki TCP-SYN Flood, jak i UDP Flood, ICMP Flood oraz wiele innych technik. Ruch związany z atakiem miał natężenie ponad 853 Gb/s.

Choć definicja SYN Flood wydaje się klarowna, zastanawiające może być, w jaki sposób hakerzy są w stanie zmusić serwer do przetwarzania tak ogromnej ilości danych. Metodykę tego ataku tłumaczymy w dalszej części artykułu.

Atak SYN Flood jest przeprowadzany w warstwie transportowej modelu OSI. Wykorzystuje podatność wynikającą z konstrukcji protokołu TCP, który służy do nawiązywania połączeń na linii klient-serwer. Protokół TCP wymaga przeprowadzenia procesu trójstronnego uzgadniania połączenia, a więc wymiany trzech komunikatów pomiędzy klientem i serwerem, nazywanych branżowo jako „handshake”. Gdy klient wysyła na adres nasłuchującego portu pakiet SYN, serwer odpowiada pakietem SYN-ACK, alokując jednocześnie pamięć dla nowego połączenia. Następnie przesyłany jest pakiet ACK i wówczas możliwe staje się nawiązanie połączenia i przesłanie danych do serwera.

Atak SYN Flood zakłada masowe wysyłanie do serwera wielu pakietów SYN i nieodpowiadanie na komunikaty zwrotne SYN-ACK. Hakerzy wykorzystują przy tym często IP spoofing, jako technikę fałszowania adresu klienta. W ten sposób pakiety SYN-ACK trafiają do zupełnie innego klienta, a serwer pozostaje w trybie nasłuchu kolejnego pakietu danych. Ten jednak nigdy nie nadchodzi, a przydzielone do tego połączenia zasoby pamięci pozostają cały czas zaangażowane. Wykorzystanie spoofingu utrudnia dodatkowo namierzenie prawdziwych sprawców ataku.

SYN Flood, jak każdy atak DoS/DDoS, niesie poważne ryzyko utraty dostępności usług. Może sparaliżować także inne obszary działania przedsiębiorstwa, takie jak produkcja czy komunikacja wewnątrz organizacji.

Oprócz oczywistych strat, jak te finansowe wynikające z przestoju w dostępie do usługi, udany atak implikuje kolejne koszty: koszt przywrócenia usługi i ewentualnego odzyskiwania danych czy koszty prawne wynikające z niewywiązania się z umów SLA. W skrajnych przypadkach ataki DoS/DDoS mogą paraliżować infrastrukturę krytyczną: szpitale, wodociągi czy oczyszczalnie ścieków.

Skala ataku może być ogromna. Popularny Mirai Botnet za cel obiera publicznie dostępne urządzenia IoT. W październiku 2016 roku posługujący się olbrzymią siecią urządzeń-zombie hakerzy wykorzystali tysiące punktów IoT (w głównej mierze kamery CCTV), generując ruch o natężeniu uniemożliwiającym poprawne działanie takich serwisów, jak Twitter, Reddit, Netflix, Spotify i wiele innych. Serwery OVH zarejestrowały wówczas obciążenie na poziomie przekraczającym 1 Tbps.

Atak DoS/DDoS nie należy do grona najbardziej wyrafinowanych zagrożeń, a instrukcje stworzenia botnetu i wymierzenia go w konkretną usługę można znaleźć nawet w serwisie YouTube. Oznacza to, że bezpieczne nie mogą czuć się także małe firmy, które mogą paść ofiarą domorosłych hakerów żądających okupu w zamian za zwolnienie zajmowanych zasobów i przywrócenie możliwości korzystania z usługi.

Przed atakami tego rodzaju można się jednak skutecznie bronić, wykorzystując sprawdzone techniki i rozwiązania dostępne na rynku.

Ataki SYN Flood mogą trwać tygodniami, skutecznie blokując prawidłowe działanie firmowych usług. Chcąc się przed tym uchronić, warto stosować prewencyjne rozwiązania.

• Poprawna konfiguracja posiadanych zabezpieczeń, takich jak firewall czy systemy IDS/IPS, może pomóc w monitorowaniu i blokowaniu podejrzanego ruchu. Popularnym mechanizmem jest oferowany w ramach wielu komercyjnych zapór sieciowych SYN Cookies. To metoda pozwalająca na weryfikację pakietów SYN bez konieczności blokowania zasobów serwera. System aktywuje się po osiągnięciu ustalonego progu.


• Warto jednak pamiętać, że filtrowanie ruchu przy użyciu wielu reguł może negatywnie wpływać na szybkość działania aplikacji, a tym samym doświadczenia użytkowników. Zapory sieciowe mogą ponadto generować fałszywe alarmy i blokować prawidłowy ruch. 


• Skrócenie czasu oczekiwania na odpowiedź ACK to także jedna z dość skutecznych metod zabezpieczenia przed eskalacją ataku SYN Flood. W tym przypadku serwer przez określony, krótki czas oczekuje na odpowiedź ACK. Jeśli pakiet nie nadejdzie, połączenie jest usuwane, a zasoby serwera zwalniane. Nie jest to jednak samodzielna metoda walki z atakami SYN Flood i należy traktować ją tylko pomocniczo.


• Rozproszona architektura i load balancing – dzięki stałemu dystrybuowaniu ruchu na różne serwery możliwe jest uniknięcie ataków DoS/DDoS o mniejszym wolumenie. Ta technika wymaga jednak posiadania rozbudowanej infrastruktury, co niesie za sobą dodatkowe koszty i może być trudne do wdrożenia dla mniejszych organizacji.


• Dedykowane rozwiązania SaaS to prawdopodobnie najkorzystniejsza propozycja. Ataki DoS/DDoS stają się coraz bardziej rozbudowane i wielowektorowe, a ochrona przed nimi coraz trudniejsza. Zewnętrze usługi pozwalają zachować bezpieczeństwo przy minimalnym zaangażowaniu firmowych zespołów IT.

Jedną z takich usług jest pakiet Netia DDoS Protection. To propozycja dla organizacji każdej wielkości, stanowiąca skuteczną ochronę przed atakami przeprowadzanymi w warstwie sieciowej, aplikacyjnej oraz transportowej. W przypadku wykrycia podejrzanego ruchu jest on przekierowywany do Centrum Przeciwdziałania Atakom DDoS Netii (tzw. Scrubbing Center). Usługa jest uruchamiana automatycznie w ciągu kilku minut od wykrycia ataku. Klienci mogą z kolei monitorować przebieg ataku na stworzonej w tym celu platformie.

Choć ataki Denial of Service nie powodują zwykle trwałych uszkodzeń, awarii czy wycieków danych, mogą być bardzo dotkliwe dla firm w każdej branży. Skuteczna ochrona przed tego rodzaju zagrożeniami jest jedną z podstaw cyberbezpieczeństwa. Pozwala zachować ciągłość procesów biznesowych oraz uniknąć strat finansowych i utraty reputacji.