A Huge Networks, empresa brasileira especializada em proteção contra ataques digitais, tem observado um aumento expressivo nos ataques do tipo SYN-ACK flood, uma variação mais recente e sofisticada do tradicional SYN flood. Segundo Matheus Castanho, líder de tecnologia da empresa, esse tipo de ataque começou a ganhar escala nos últimos dois anos e tem sido um dos principais desafios enfrentados atualmente nas operações de mitigação da empresa.
Os dois tipos de ataque exploram o funcionamento do protocolo TCP, base de grande parte da comunicação na internet. Quando um usuário acessa um site, por exemplo, o TCP estabelece uma conexão entre o computador e o servidor por meio de um processo chamado handshake, composto por três etapas: envio de um pacote SYN, resposta do servidor com um pacote SYN-ACK e confirmação final do cliente com um pacote ACK. A partir desse “aperto de mão”, a troca de dados começa.
No SYN flood, o atacante envia uma grande quantidade de pacotes SYN sem concluir o processo de handshake, simulando milhares de tentativas de conexão. O servidor tenta responder a todos, o que gera consumo de recursos e pode comprometer o funcionamento do serviço. Esse tipo de ataque é amplamente conhecido e já conta com mecanismos de defesa bem estabelecidos, como o uso de SYN proxy, que responde ao pacote inicial e aguarda uma confirmação antes de encaminhar a conexão real ao servidor.
No caso do SYN-ACK flood, o cenário é diferente. O atacante envia pacotes SYN a servidores reais da internet, mas falsifica o endereço de origem da requisição, colocando o IP da vítima como remetente. Esses servidores, por sua vez, respondem com pacotes SYN-ACK diretamente para a vítima, que nunca iniciou a comunicação. Como essas respostas vêm de máquinas legítimas, técnicas tradicionais de mitigação baseadas em desafio, similares ao SYN proxy, tornam-se ineficazes.
“O SYN-ACK flood tem sido mais difícil de mitigar porque o tráfego malicioso chega de fontes válidas, com aparência de comunicação legítima. É uma técnica que contorna os mecanismos mais conhecidos de defesa”, explica Matheus Castanho. Segundo ele, essa ameaça tem aparecido com frequência em ataques recentes monitorados pela empresa, e ainda é pouco documentada fora do Brasil.
Para enfrentar esse desafio, a Huge Networks tem trabalhado diretamente com seus clientes para compreender os padrões específicos de tráfego de cada rede protegida. Segundo Castanho, uma das estratégias adotadas é analisar como normalmente se dá o acesso aos serviços do cliente, a fim de identificar comportamentos fora do padrão durante os ataques.
“A gente tem trabalhado junto com os clientes para melhorar a mitigação usando o tráfego de acesso deles à internet”, explicou. Essa abordagem permite identificar tentativas de comunicação que não fazem parte do perfil habitual de uso e, assim, aprimorar os filtros de proteção mesmo diante de tráfego com aparência legítima.
Sobre a Huge Networks
Fundada em 2013, a Huge Networks é uma empresa brasileira de tecnologia com atuação global em cibersegurança e infraestrutura de cloud computing. Especializada na mitigação de ataques DDoS e no fornecimento de soluções de nuvem com baixa latência, a empresa possui bases legais e operacionais no Brasil, nos Estados Unidos e na Europa. Com tecnologia própria e foco em performance, a Huge atende operadoras de internet regionais (ISPs), além de empresas de médio e grande porte, combinando suporte técnico local, engenharia nacional e presença internacional. Possui certificado norte-americano de solidez, transparência financeira e confiabilidade corporativa (Dun & Bradstreet), certificações ISO e está entre as empresas mais interconectadas da América Latina em segurança baseada em nuvem.
