ISGroup Consultoría de Ciberseguridad

SYN Flood

Un SYN Flood es un tipo de ataque de denegación de servicio (DoS) que tiene como objetivo sobrecargar un recurso de red mediante el envío de un gran número de paquetes TCP SYN, superando la capacidad que la implementación del protocolo puede gestionar.

¿Qué es un paquete TCP SYN?

Para comprender completamente el ataque SYN Flood, es útil saber qué es un paquete TCP SYN. TCP (Transmission Control Protocol) es uno de los protocolos principales utilizados para transmitir datos a través de Internet. Cuando dos ordenadores desean comunicarse mediante TCP, comienzan con un “apretón de manos de tres vías” (three-way handshake). La primera fase de este proceso es el envío de un paquete SYN (synchronize) por parte del cliente al servidor para solicitar la apertura de una conexión.

¿Cómo funciona un ataque SYN Flood?

Durante un ataque SYN Flood, el atacante envía un número enorme de solicitudes de conexión (paquetes SYN) a un servidor objetivo, utilizando a menudo direcciones IP falsificadas. Cuando el servidor recibe estos paquetes SYN, responde con un paquete SYN-ACK (acknowledgment) y espera una respuesta final para completar la conexión. Sin embargo, el atacante nunca envía esta respuesta final, dejando las conexiones en un estado “semiabierto”.

Cada conexión incompleta ocupa recursos del sistema del servidor, como memoria y puertos de comunicación. Si el número de estas conexiones parciales supera la capacidad del servidor, este ya no es capaz de gestionar nuevas conexiones legítimas, lo que provoca una interrupción del servicio.

Efectos de un ataque SYN Flood

Los efectos de un ataque SYN Flood pueden variar según la configuración del servidor y las contramedidas de seguridad implementadas. Por lo general, los efectos incluyen:

  • Reducción del rendimiento: El servidor se vuelve lento al responder a las solicitudes legítimas.
  • Denegación de servicio: El servidor podría no ser capaz de responder a ninguna solicitud legítima, haciendo que el servicio sea inaccesible.
  • Agotamiento de recursos: El consumo excesivo de recursos del sistema puede provocar el bloqueo (crash) del servidor.

Contramedidas y prevención

Para protegerse contra los ataques SYN Flood, las organizaciones pueden adoptar diversas estrategias:

  • Aumento de recursos: Asignar más recursos al servidor puede ayudar a gestionar un mayor número de solicitudes.
  • Filtros de paquetes: Utilizar firewalls y routers para filtrar y bloquear el tráfico sospechoso.
  • SYN Cookies: Esta técnica permite al servidor responder a las solicitudes SYN sin asignar recursos hasta que la conexión esté completamente establecida.
  • Reducción del tiempo de espera (timeout) de las conexiones incompletas: Configurar el servidor para reducir el tiempo que espera una respuesta final de una conexión parcialmente abierta.

Los ataques SYN Flood representan una amenaza significativa para la disponibilidad de los servicios de red. La comprensión de estos ataques y la implementación de medidas de seguridad adecuadas son fundamentales para mantener la estabilidad y la seguridad de las infraestructuras de red.

In