A segurança digital é um tema sempre presente na gestão de qualquer empresa. Quanto maior for a quantidade de informações sensíveis acumuladas pelo negócio, mais importante é investir em proteção contra diferentes tipos de ataques digitais. E um dos principais deles é o ataque Syn Flood.
Conhecer e se prevenir contra esses ataques é uma das principais obrigações da gestão de TI nas empresas. Sem o devido preparo, ele pode interromper por completo as atividades da empresa ou causar o vazamento de dados importantes de clientes, colaboradores e parceiros.
Acompanhe e entenda melhor o que é o Syn Flood e como proteger o negócio contra ele.
O que é Syn Flood?
Os Syn Flood, ou Inundação de Syn, são um tipo de ataque digital feito com o objetivo de interromper o serviço dentro de uma rede. Isso acontece devido a uma falha em uma verificação de segurança que o invasor tenta explorar.
Quando um usuário tenta se conectar à rede da empresa, primeiro precisa ocorrer um procedimento chamado Three Way Handshake. Primeiro, o usuário solicita entrada com um pacote SYN. Depois, o servidor envia uma resposta de reconhecimento, um SYN-ACK. O usuário responde a esse pacote e a conexão é estabelecida.
O Syn Flood é quando um invasor envia várias solicitações de conexão a partir de um IP falso. Assim, o servidor envia o SYN-ACK e aguarda uma resposta que nunca volta, deixando a conexão aberta. Isso pode criar uma vulnerabilidade dentro do sistema ou, em quantidade suficiente, ocupar toda a banda do servidor e impedir suas atividades.
Existem três tipos principais de ataques de Syn Flood, como veremos a seguir.
Direto
O formato mais simples, quando o ataque parte de um único IP falsificado. Porém, é um dos tipos mais raros, já que essa tática expõe o criminoso. Como há apenas um caminho de conexão até à origem da solicitação, fica mais fácil rastrear quem realizou o ataque.
Falsificado
Outro caminho utilizado nesses ataques é enviar vários pacotes SYN a partir de um endereço de IP cada. Assim, o criminoso não só consegue sobrecarregar o sistema como também é capaz de esconder seu rastro. Também é mais difícil distinguir quais solicitações são legítimas e quais são parte desse ataque.
DDoS
Já os ataques do tipo DDoS são mais elaborados, muitas vezes fazendo uso de uma rede de robôs para realizar o ataque. Em muitos casos, o criminoso instala um malware em vários computadores e os utiliza para enviar a solicitação de entrada ao servidor. É um método ainda mais efetivo e perigoso, pois o único endereço de IP que consta na solicitação é o da máquina que contém o malware, não o do criminoso.
Como se proteger contra o Syn Flood?
Diante de todos esses riscos, é importante tomar algumas atitudes para minimizar as chances de sucesso desse ataque. Veja aqui algumas ações de segurança que você pode adotar.
Ajuste o número de conexões
Além de haver um limite no número de conexões ativas entre o servidor e diferentes usuários, também costuma haver um limite arbitrário no número de solicitações que podem estar na fila. Quando esse limite é atingido, o servidor para de aceitar novas solicitações e o serviço é interrompido.
Para evitar isso, você pode estabelecer critérios para ajustar esse limite de solicitações, seja de forma automática ou manual. Assim, o servidor consegue suportar um ataque e manter seu funcionamento.
Porém, essa não é a solução ideal, já que um ataque maior eventualmente vai ocupar toda a capacidade da rede. É apenas uma questão de quem tem maior capacidade de processamento.
Recicle conexões antigas
Eventualmente, sua rede vai chegar ao ponto em que não pode mais ampliar a fila de solicitações e o criminoso continua enviando sinais. Nesse caso, o próximo passo é começar a “reciclar” suas conexões, fechando portas abertas há mais tempo para abrir espaço para novas solicitações.
Um critério comum aqui é o tempo de espera. Se uma conexão demora muito para ser estabelecida, então o servidor fecha a porta. Nesse caso, as solicitações legítimas devem ser concluídas mais rápido, ou qualquer espaço na fila será tomado novamente por IPs falsos.
Use Cookies Syn
Nesse método, em vez de ocupar a rede com cada solicitação, o servidor apaga a solicitação assim que o pacote SYN ACK é enviado, liberando sua memória. Caso receba uma resposta, a conexão é reestabelecida e o processo continua normalmente. Assim, mesmo no caso de um ataque, não há suspensão do serviço.
O único problema com esse método é que, em alguns casos, ocorre uma pequena perda de dados como parte da conexão. Porém, ainda é melhor que a alternativa.
Utilize softwares de proteção atualizados
Assim como acontece em qualquer outro tipo de ataque, você pode reduzir os riscos do Syn Flood usando softwares de proteção digital, principalmente o firewall. Assim, você estabelece critérios mais claros para identificar uma tentativa de ataque e impedir que ela afete seus sistemas.
Sempre que uma dessas conexões mal intencionadas é identificada, o sistema pode bloquear o IP de origem temporariamente, eliminando futuras tentativas de estabelecer conexão. Em muitos casos, isso é suficiente para mitigar seu impacto imediato.
Quais são as consequências de um ataque Syn Flood?
Existem dois possíveis objetivos para um ataque Sun Flood: interromper o funcionamento do servidor ou criar uma porta de entrada. No primeiro caso, a intenção é deixar o serviço inacessível, o que impacta o trabalho dentro do ambiente corporativo e as solicitações legítimas de clientes.
O segundo caso é ainda mais perigoso. Se a conexão não for eliminada corretamente, o criminoso pode usá-la para entrar no sistema da empresa e obter acesso aos seus dados. Ele também pode servir como distração, ocupando a equipe de TI com estas solicitações enquanto outras áreas são acessadas clandestinamente.
Para se proteger contra os ataques Syn Flood, o mais importante é entender como eles funcionam e quais são seus objetivos. Só assim você pode definir a melhor estratégia para proteger sua rede.
Quer se informar melhor para manter a rede do seu negócio bem protegida? Então confira também nosso artigo sobre como se proteger contra ransomware.