SYNPROXY es un modulo de netfilter en el kernel de Linux. Está optimizado para manejar varios millones de paquetes por segundo utilizando todas las CPU disponibles sin bloqueos entre conexiones.
El efecto de esto es que los servidores no verían ningún cambio durante un ataque. El firewall detendría el ataque y solamente permitiría el paso a las conexiones TCP válidas.
Como funciona
Con SYNPROXY habilitado, los clientes se conectan en forma transparente a SYNPROXY. El 3 way handshake debe ocurrir primero entre el cliente y SYNPROXY.
- El cliente envia un TCP SYN al servidor
- En el firewall, cuando llega el paquete se marca como UNTRACKED
- El paquete UNTRACKED SYN se entrega a SYNPROXY
- SYNPROXY toma el paquete y responde como SYN/ACK (UNTRACKED)
- El cliente responde con TCP/ACK (marcado como INVALID o UNTRACKED en iptables), el que es entregado a SYNPROXY
Una vez que el cliente se ha conectado a SYNPROXY, SYNPROXY inicia el 3 way handshake con el servidor real, modificando el paquete inicial SYN de manera que el servidor vería la direccion IP del cliente que se quiere conectar:
- SYNPROXY envia un paquete TCP SYN al servidor real. Esta es una nueva conexion en iptables y ocurre en la cadena OUTPUT. La direccion IP de origen del paquete es la IP del cliente.
- El servidor real responde SYN/ACK al cliente
- SINPROXY recibe el paquete SYN/ACK y responde nuevamente al servidor con un paquete ACK, quedando la conexion marcada como ESTABLISHED
- Una vez establecida la conexión, SYNPROXY deja el tráfico en manos del cleinte y el el servidor real.