Proteksi SYN Flood Attack

SYN Flood adalah bentuk serangan penolakan layanan (DoS Attack) di mana penyerang dengan cepat memulai koneksi ke target tanpa menyelesaikan koneksi.

Target (Server atau Router) harus menghabiskan sumber daya (resource) menunggu koneksi yang setengah terbuka, yang dapat menghabiskan sumber daya yang cukup untuk membuat sistem tidak responsif terhadap lalu lintas yang sah.

Paket yang dikirimkan penyerang adalah paket SYN, bagian dari jabat tangan tiga arah (3 Way handshake) TCP yang digunakan untuk membuat sambungan.

Detail Teknis:

Ketika Client mencoba untuk memulai koneksi TCP ke Server, Client dan Server bertukar serangkaian pesan yang biasanya berjalan seperti ini:

1. Client meminta koneksi dengan mengirimkan pesan SYN (Synchronize) ke Server.
2. Server menerima permintaan ini dengan mengirim kembali SYN-ACK ke Client.
3. Client menanggapi dengan ACK, dan sambungan dibuat (Established).

Ini disebut jabat tangan (handshake) tiga arah (3 way) TCP, dan merupakan fondasi untuk setiap koneksi yang dibuat menggunakan protokol TCP.

Sebuah serangan SYN Flood bekerja dengan tidak menanggapi Server dengan kode ACK yang diharapkan. Client jahat bisa saja tidak mengirim ACK yang diharapkan, atau dengan Spoofing alamat IP sumber di SYN, menyebabkan server mengirim SYN-ACK ke alamat IP yang dipalsukan.

Server akan menunggu pemberitahuan untuk beberapa waktu, karena kemacetan jaringan sederhana juga bisa menjadi penyebab ACK hilang. Namun, dalam sebuah serangan, koneksi setengah terbuka yang dibuat oleh Client jahat mengikat sumber daya di Server dan pada akhirnya dapat melebihi sumber daya yang tersedia di Server.

Pada titik itu, Server tidak dapat terhubung ke Client mana pun, baik yang sah atau tidak. Ini secara efektif menolak layanan kepada Client yang sah. Beberapa sistem juga dapat mengalami kegagalan fungsi atau crash ketika fungsi sistem operasi lain kekurangan sumber daya dengan cara ini.

Penanggulangan

Ada sejumlah tindakan pencegahan terkenal yang terdaftar di RFC 4987 termasuk:

1. Penyaringan.
2. Meningkatkan backlog.
3. Mengurangi timer SYN-RECEIVED.
4. Mendaur ulang TCP setengah terbuka terlama.
5. Cache SYN.
6. SYN cookies.
7. Pendekatan Hybrid.
8. Tembok api dan proxy.

Untuk implementasi dari proteksi SYN Flood Attack di Mikrotik adalah sebagai berikut:

/ip settings set tcp-syncookies=yes

/ip firewall filter add chain=forward connection-state=new action=jump jump-target=detect-ddos /ip firewall filter add chain=detect-ddos dst-limit=32,32,src-and-dst-addresses/10s action=return

/ip firewall address-list add list=ddos-attackers /ip firewall address-list add list=ddos-targets /ip firewall raw add chain=prerouting action=drop src-address-list=ddos-attackers dst-address-list=dddos-targets

/ip firewall filter add action=add-dst-to-address-list address-list=ddos-target address-list-timeout=10m chain=detect-ddos /ip firewall filter add action=add-src-to-address-list address-list=ddos-attackers address-list-timeout=10m chain=detect-ddos

SYN-ACK Flood adalah metode serangan yang melibatkan pengiriman paket SYN-ACK palsu ke target dengan kecepatan tinggi.

Server membutuhkan Resource yang signifikan untuk memproses paket-paket tersebut di luar Handshake Sequence (tidak sesuai urutan mekanisme jabat tangan tiga arah SYN, SYN-ACK, ACK TCP), Server dapat menjadi sangat sibuk menangani lalu lintas serangan, sehingga tidak dapat menangani lalu lintas yang sah dan karenanya penyerang mencapai kondisi DoS atau DDoS.

Rule berikut ini khusus untuk menghadapi SYN-ACK Flood:

/ip firewall filter add action=return chain=detect-ddos dst-limit=32,32,src-and-dst-addresses/10s protocol=tcp tcp-flags=syn,ack

Proteksi SYN Flood Attack - Lynix
July 13, 2021