BGP FlowSpec TCP flags: usar SYN, ACK y RST sin romper tráfico real

El problema operativo

Los flags TCP parecen muy expresivos, pero FlowSpec no mantiene el estado de la conexión. Un SYN abre una conexión, un ACK suele pertenecer a una sesión establecida y un RST puede cerrar o recuperar una sesión, pero vistos aisladamente no prueban legitimidad.

Con rutas asimétricas, el problema aumenta. La regla upstream no ve necesariamente el handshake completo, el retorno, NAT o balanceadores. Un filtro ACK o RST demasiado amplio puede cortar tráfico real.

Por qué importa antes del ataque

Los floods TCP pueden agotar backlog SYN, tablas de conexión o recursos de aplicación incluso sin llenar todo el ancho de banda. Los flags ayudan a retirar patrones obvios antes de que lleguen al cliente.

Pero los falsos positivos en TCP son caros: sesiones congeladas, recursos que no cargan, APIs intermitentes. Por eso los flags deben usarse con destino, puerto, tasa y duración definidos.

Enfoques técnicos posibles

Para SYN flood, una regla estrecha hacia un host o puerto atacado puede ser útil, especialmente si hay validación downstream. Para ACK flood, la prudencia debe ser mayor porque puede existir tráfico establecido legítimo.

La solución sólida combina FlowSpec para alivio upstream y filtros con estado o proxy para validar contexto. Ningún flag aislado debe convertirse en política permanente.

Cómo Peeryx diseña esta capa

Peeryx utiliza TCP flags solo cuando añaden precisión a una regla. No se trata de bloquear todo SYN o todo ACK porque la gráfica sube, sino de relacionar el match con destino, puerto, patrón y comportamiento normal.

Detrás, la stack de mitigación conserva decisiones más finas. Esta separación protege la capacidad sin sacrificar calidad de sesión para clientes en tránsito protegido, túnel o VM router.

Checklist operativo antes de ponerlo en producción

Antes de aplicar este enfoque en producción, el equipo debe documentar el perfil normal del servicio: puertos, protocolos, tamaño de paquetes, tasa habitual, horarios de pico, dependencias externas y comportamiento de usuarios legítimos. Sin esa referencia, cualquier regla parece razonable durante una crisis, pero puede degradar el servicio sin que el panel de mitigación lo muestre claramente.

Durante el ataque, conviene cambiar una sola variable cada vez: primero el alcance de destino, después el componente de match, luego la duración y finalmente el ajuste downstream. Esta disciplina evita reglas demasiado agresivas y facilita explicar al cliente por qué se bloqueó un patrón concreto y por qué el tráfico legítimo debería seguir pasando.

• Guardar una baseline de tráfico antes del incidente.
• Definir quién puede crear, modificar o retirar reglas.
• Validar el impacto sobre usuarios reales, no solo sobre gráficos de ataque.
• Mantener una ruta de rollback inmediata.
• Revisar la regla de BGP FlowSpec TCP flags cuando el ataque cambia de forma.

Caso de uso concreto

Una API recibe un SYN flood masivo sobre TCP/443. Una regla FlowSpec limitada al destino atacado reduce el volumen y deja al sistema downstream gestionar handshakes válidos.

En un ACK flood con routing asimétrico, un drop amplio de ACK puede mejorar la gráfica y al mismo tiempo cortar sesiones reales. La validación debe hacerse por etapas.

Errores frecuentes que evitar

• Aplicar reglas globales a partir de una muestra corta.
• Olvidar la expiración o rollback de una regla temporal.
• Medir solo los Gbps bloqueados y no la experiencia real del usuario.
• Ignorar limitaciones del proveedor upstream.
• Usar el mismo filtro para web, gaming y tráfico de túnel sin validación.

FAQ