Syn Flood（洪水）攻击的危害及应对方法

2021年的春节刚过去不久，各行各业都开始复工复产，网盾科技也不例外，随着工作逐渐步入正轨，来访的客户也越来越多，工作就开始忙碌起来，只是最近经常会接到好些个电话，关于SYN攻击的问题，这里我给大家统一说一下吧，有需要的朋友可以收藏一下。

什么是Syn Flood攻击？

Syn Flood攻击是网络攻击的一种手段， 又称为SYN洪水、SYN洪泛，是一种典型的DoS（Denial of Service，拒绝服务）攻击（阻断服务攻击），效果就是服务器TCP连接资源耗尽，停止响应正常的TCP连接请求。

Syn Flood有哪些种类？

1、Direct Attack 攻击方使用固定的源地址发起攻击，这种方法对攻击方的消耗最小。

2、Spoofing（欺骗）Attack 攻击方使用变化的源地址发起攻击，这种方法需要攻击方不停地修改源地址，实际上消耗也不大。

3、Distributed Direct Attack 这种攻击主要是使用僵尸网络进行固定源地址的攻击。

僵尸网络(Botnet) 是指采用一种或多种传播手段，将大量主机感染bot程序病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。攻击者通过各种途径传播僵尸程序感染互联网上的大量主机，而被感染的主机将通过一个控制信道接收攻击者的指令，组成一个僵尸网络。

Syn Flood攻击的原理是什么？

说到原理，还得从TCP如何建立连接(Connection)讲起。通信的双方最少得经过3次成功的信息交换才能进入连接全开状态(Full-Open)，行话叫建立TCP连接的3次握手(TCP three-way handshake)。

当客户端尝试与服务器建立TCP连接时，客户端和服务器在正常情况下交换一组信息，如下所示：

1.客户端将SYN同步信息发送到服务器并请求连接设置。

2.服务器响应客户端SYN-ACK响应请求。

3.客户端承诺ACK并建立连接。

这是在所谓的TCP 3次握手中使用TCP传输协议的每个连接的基础。

Syn Flood攻击就是攻击者发送许多数据包，但不向服务器发送“ACK”。因此，连接是半开的，如果这些半开放连接绑定服务器资源，则可以向服务器排出大量SYN信息，这可能会导致网络拥塞而无需ACK。

Syn Flood攻击的危害是什么？

如果恶意地向某个服务器端口发送大量的SYN包，则可以使服务器打开大量的半开连接，分配TCB，从而消耗大量的服务器资源，同时也使得正常的连接请求无法被响应。而攻击发起方的资源消耗相比较可忽略不计。

Syn Flood攻击要怎么应对？

1、对SYN包进行监视

对于Direct Attack攻击的防范可以使用比较简单的方法，即对SYN包进行监视，如果发现某个IP发起了较多的攻击报文，直接将这个IP列入黑名单即可。当然下述的方法也可以对其进行防范。

对于源地址不停变化的攻击使用上述方法则不行，首先从某一个被伪装的IP过来的SYN报文可能不会太多，达不到被拒绝的阈值，其次从这个被伪装的IP（真实的）的请求会被拒绝掉。因此必须使用其他的方法进行处理。

2、延缓TCB分配方法

从前面SYN Flood原理可以看到，消耗服务器资源主要是因为当SYN数据报文一到达，系统立即分配TCB，从而占用了资源。而SYN Flood由于很难建立起正常连接，因此，当正常连接建立起来后再分配TCB则可以有效地减轻服务器资源的消耗。

3、无效连接监视释放

这种方法不停监视系统的半开连接和不活动连接，当达到一定阈值时拆除这些连接，从而释放系统资源。这种方法对于所有的连接一视同仁，而且由于SYN Flood造成的半开连接数量很大，正常连接请求也被淹没在其中被这种方式误释放掉，因此这种方法属于入门级的SYN Flood方法。