SYN Flood攻撃

SYN Flood Attack 攻撃手法

TCP接続確立要求を大量に送りつけ接続テーブルを枯渇させるDoS攻撃。

概要

SYN Floodは、TCPの3-wayハンドシェイクを悪用した古典的なDoS攻撃です。攻撃者は接続要求(SYNパケット)を大量に送信しますが、Webサーバーからの応答(SYN-ACK)に対する確認(ACK)を返さないため、Webサーバー側に「半開接続」が大量に滞留し、新規接続を受け付けられなくなります。

送信元IPを偽装(IP spoofing)するため攻撃元の特定が難しく、ネットワーク層での対処が中心となります。Linuxカーネルの`tcp_syncookies`機能はこの攻撃を緩和する代表的な仕組みで、接続テーブルを使わずにACK検証を行うことで枯渇を防ぎます。

対策は (1) `net.ipv4.tcp_syncookies=1` の有効化、(2) backlog値の拡大、(3) 上流ネットワーク機器/CDNでのフィルタリング、(4) iptables/nftablesでのレート制限、です。単独Webサーバーでの完全防御は難しく、上流での吸収が現実的です。

Scanrollはこう守る

ScanrollはWebサーバーの接続状態(ESTABLISHED/SYN_RECV比率等)を監視し、SYN Flood攻撃の兆候を検知すると、対応するIPレンジへのブロックとカーネルレベルの緩和設定確認を行います。攻撃時にサービスが応答不能になった場合は、Webサーバー再起動を含む自動復旧処理を実行します。