SYN Flood je typ útoku typu Denial of Service (DoS), který se zaměřuje na zahlcení cílového serveru prostřednictvím zneužití tříkrokového TCP handshake procesu. Útočník posílá velké množství požadavků na navázání spojení (SYN pakety), ale nedokončí je – tím spotřebovává systémové prostředky serveru, který čeká na odpověď, a znemožňuje obsluhu legitimních uživatelů.
Jak funguje TCP handshake
Běžná komunikace přes TCP probíhá následovně:
Klient odešle serveru požadavek (SYN).
Server odpoví potvrzením a výzvou (SYN-ACK).
Klient dokončí proces odesláním ACK.
Při SYN Flood útoku útočník odešle velké množství SYN požadavků, ale nikdy nepošle třetí část (ACK). Server mezitím rezervuje zdroje pro každé nedokončené spojení a čeká – čím více těchto falešných žádostí přijde, tím více systémových prostředků je spotřebováno, až je server přetížen a nedostupný pro běžné uživatele.
Proč je SYN Flood nebezpečný
Jednoduchost provedení – útočník nemusí mít pokročilé dovednosti.
Vysoká účinnost – cílový systém může být vyřazen velmi rychle.
Těžká detekce – SYN požadavky působí jako běžná komunikace.
Nízká spotřeba zdrojů na straně útočníka – stačí odesílat jednoduché SYN pakety, často i ze spoofovaných IP adres.
Jak rozpoznat SYN Flood
Extrémně vysoký počet neúplných TCP spojení.
Nárůst využití paměti nebo procesoru způsobený správou nedokončených spojení.
Vysoký počet SYN-ACK paketů bez odpovídajících ACK.
Nástroje pro monitoring (např. Wireshark, NetFlow, IDS/IPS) ukazují podezřelý provoz.
Jak se bránit proti SYN Flood útoku
1. SYN cookies
Technika, která oddaluje rezervaci systémových prostředků, dokud klient nedokončí handshake. Umožňuje efektivně filtrovat falešné požadavky.
2. Zkrácení doby čekání (timeout)
Zmenšení doby, po kterou server čeká na dokončení spojení, pomáhá rychleji uvolnit prostředky.
3. Firewally a IDS/IPS
Specializované zařízení nebo software dokáže rozpoznat SYN Flood vzory a zablokovat podezřelý provoz.
4. Rate limiting
Omezení počtu spojení z jedné IP adresy v určitém čase. Pomáhá proti masivním útokům ze stejného zdroje.
5. Reverzní proxy a load balancery
Tato zařízení mohou přebírat první kontakt a odfiltrovat škodlivý provoz dříve, než dorazí na produkční server.
Shrnutí
SYN Flood je klasický, ale stále účinný útok, který zneužívá způsob, jakým funguje TCP protokol. Ačkoli je jednoduchý, může mít vážné důsledky, zejména pokud organizace nepřijala preventivní opatření. Moderní servery a sítě by měly mít automatizované detekční a ochranné mechanismy, protože SYN Flood se často stává součástí širších útoků, jako jsou DDoS kampaně.
