SYN洪水攻擊原理

SYN Flood 或稱 SYN洪水、SYN洪泛是一種阻斷服務攻擊，起因於攻擊者傳送一系列的SYN請求到目標系統。

使用者和伺服器之間的正常連線，正確執行 。

當客戶端嘗試與伺服器建立TCP連線時，客戶端和伺服器在正常情況下交換一組資訊，如下所示：
1.客戶端將SYN同步資訊傳送到伺服器並請求連線設定。
2.伺服器響應客戶端SYN-ACK響應請求。
3.客戶端承諾ACK並建立連線。
這是在所謂的TCP 3次握手中使用TCP傳輸協議的每個連線的基礎。

水槽洪水。攻擊者傳送許多資料包，但不向伺服器傳送“ACK”。因此，連線半開，吞下伺服器資源。由於阻止服務攻擊，合法使用者嘗試連線到伺服器但被拒絕。

SYN Flood是一種眾所周知的攻擊，在現代網路中通常無效。這種型別的攻擊僅在伺服器收到SYN後才分配資源，但在本節中，它會在收到ACK之前生效。

目前有兩種SYN Flood攻擊方式，但它與所有伺服器都沒有收到ACK的事實有關。惡意使用者無法接收ACK，因為伺服器向假IP地址傳送SYN-ACK，跳過最後一條ACK訊息或模擬SYN的源IP地址。在這兩種情況下，伺服器都需要時間來複制通知，這可能會導致簡單的網路擁塞而無需ACK。

如果這些半開放連線繫結伺服器資源，則伺服器可以向伺服器排出大量SYN資訊。如果為半開連線保留所有資源，則會阻止服務攻擊，因為無法設定新連線（無論合法）。其他作業系統功能可能需要這種形式的資源，即使在某些系統上，即使停機也可能非常嚴重。

1996年用於分配半開放連線資源的技術通常包括相當短的佇列（例如，8個空座位）。當連線完成或過期時（例如，3分鐘後），您可以開啟佇列間隔。如果佇列已滿，則新的傳入連線將失敗。在上面的示例中，在傳送總共8個資料包之前，所有新的傳入連線都被阻止。這意味著每3分鐘計算8個資料包，並阻止所有新的TCP連線。此阻止服務僅攻擊少量流量。

建議的措施包括SYN cookie和限制在特定時間段內從同一源請求的新連線數，但最新的TCP / IP堆疊沒有上面提到的瓶頸因為它位於SYN Flood和其他基於通道的容量之間。攻擊型別應該很少或沒有區別。