A Huge Networks, empresa brasileira especializada em proteção contra ataques digitais, observa aumento expressivo nos ataques do tipo SYN-ACK flood, uma versão mais sofisticada do clássico SYN flood. Segundo Matheus Castanho, líder de tecnologia da empresa, esse tipo de ataque ganhou escala nos últimos dois anos e tem se tornado um dos principais desafios na mitigação de incidentes.
Tanto o SYN flood quanto o SYN-ACK flood exploram o protocolo TCP, base da comunicação na internet. O processo de conexão, conhecido como handshake, ocorre em três etapas: envio de um pacote SYN pelo usuário, resposta do servidor com SYN-ACK e confirmação final do cliente com pacote ACK. A partir desse “aperto de mão”, a troca de dados é iniciada.
Diferenças entre SYN flood e SYN-ACK flood
No SYN flood tradicional, o atacante envia grande volume de pacotes SYN sem concluir o handshake. O servidor tenta responder a todas as solicitações, sobrecarregando recursos e prejudicando o funcionamento do serviço. Mecanismos de defesa como o SYN proxy são eficazes contra esse tipo de ataque.
O SYN-ACK flood, no entanto, apresenta complexidade maior. O invasor envia pacotes SYN a servidores legítimos, mas falsifica o endereço de origem, direcionando as respostas SYN-ACK para a vítima, que não iniciou a conexão. Como os pacotes vêm de máquinas legítimas, técnicas tradicionais de mitigação tornam-se ineficazes.
“O SYN-ACK flood tem sido mais difícil de mitigar porque o tráfego malicioso chega de fontes válidas, com aparência de comunicação legítima. É uma técnica que contorna os mecanismos mais conhecidos de defesa”, explica Matheus Castanho. A ameaça ainda é pouco documentada fora do Brasil, mas tem aparecido com frequência nos ataques monitorados pela empresa.
Estratégias de mitigação personalizadas
Para enfrentar o SYN-ACK flood, a Huge Networks trabalha diretamente com os clientes, analisando padrões específicos de tráfego de cada rede. “A gente tem trabalhado junto com os clientes para melhorar a mitigação usando o tráfego de acesso deles à internet”, afirma Castanho.
Essa abordagem permite identificar comportamentos fora do padrão durante os ataques e aprimorar os filtros de proteção mesmo diante de tráfego com aparência legítima, garantindo maior resiliência das operações.
