SYN洪泛攻击原理及其防范策略

SYN攻击与防范措施：网络世界的隐患与挑战网络安全问题是互联网发展过程中不可忽视的重要议题之一。

在众多的网络攻击手段中，SYN攻击一直以来都是危害严重且普遍存在的一种攻击方式。

本文将深入探讨SYN攻击的原理与影响，并提出针对性的防范措施，以帮助网络安全相关人员更好地应对这一挑战。

一、SYN攻击的原理SYN攻击（SYN Flood）是一种利用TCP协议中的漏洞进行的拒绝服务攻击（Denial of Service，DoS）。

攻击者通过请求连接来占用服务器资源，以达到阻塞正常用户连接的目的。

具体而言，SYN攻击是通过发送大量伪造的TCP连接请求（SYN包）来迷惑服务器，使其一直处于半连接状态，无法建立真正的连接。

攻击者通常会使用大量的IP地址和源端口号来混淆服务器，从而增加攻击的隐蔽性。

二、SYN攻击的影响SYN攻击对网络造成的影响是不可忽视的。

首先，它会耗尽服务器的资源，使其无法响应正常用户的请求，导致服务不可用。

其次，SYN攻击还可能导致网络拥塞，降低整个网络的带宽和传输速度。

更为严重的是，一些关键的网络设备（如防火墙）可能会因为处理SYN攻击而奔溃，从而给整个网络架构带来灾难性的后果。

三、防范SYN攻击的措施面对日益猖獗的SYN攻击，网络安全专家们提出了多种有效的防范措施：1. 增加系统资源SYN攻击利用了服务器资源的有限性，因此增加系统资源是一个最直接也最简单的方法。

通过提高服务器的处理能力和连接数目限制，可以减轻SYN攻击对服务器的影响。

2. 设置SYN CookieSYN Cookie是一种防御SYN攻击的方法。

通过在服务器端设置SYN Cookie，当服务器接收到一个SYN请求后，会将相关信息（如序列号等）保存在一个临时Cookie中。

只有在客户端回应ACK时，服务器才会验证该Cookie是否正确，并建立连接。

这种方式可以提高服务器抵御SYN攻击的能力。

3. 使用防火墙和入侵检测系统防火墙和入侵检测系统（IDS）能够识别并拦截大量的SYN请求。

SYN攻击原理以及防范技术据统计，在所有黑客攻击事件中，SYN攻击是最常见又最容易被利用的一种攻击手法。

相信很多人还记得2000年YAHOO网站遭受的攻击事例，当时黑客利用的就是简单而有效的SYN攻击，有些网络蠕虫病毒配合SYN攻击造成更大的破坏。

本文介绍SYN攻击的基本原理、工具及检测方法，并全面探讨SYN攻击防范技术。

一、TCP握手协议在TCP/IP协议中，TCP协议提供可靠的连接服务，采用三次握手建立一个连接。

第一次握手：建立连接时，客户端发送syn包(syn=j)到服务器，并进入SYN_SEND状态，等待服务器确认；第二次握手：服务器收到syn包，必须确认客户的SYN（ack=j+1），同时自己也发送一个SYN包（syn=k），即SYN+ACK包，此时服务器进入SYN_RECV状态；第三次握手：客户端收到服务器的SYN＋ACK包，向服务器发送确认包ACK(ack=k+1)，此包发送完毕，客户端和服务器进入ESTABLISHED状态，完成三次握手。

完成三次握手，客户端与服务器开始传送数据，在上述过程中，还有一些重要的概念：未连接队列：在三次握手协议中，服务器维护一个未连接队列，该队列为每个客户端的SYN包（syn=j）开设一个条目，该条目表明服务器已收到SYN包，并向客户发出确认，正在等待客户的确认包。

这些条目所标识的连接在服务器处于Syn_RECV状态，当服务器收到客户的确认包时，删除该条目，服务器进入ESTABLISHED状态。

Backlog参数：表示未连接队列的最大容纳数目。

SYN-ACK 重传次数服务器发送完SYN－ACK包，如果未收到客户确认包，服务器进行首次重传，等待一段时间仍未收到客户确认包，进行第二次重传，如果重传次数超过系统规定的最大重传次数，系统将该连接信息从半连接队列中删除。

注意，每次重传等待的时间不一定相同。

半连接存活时间：是指半连接队列的条目存活的最长时间，也即服务从收到SYN包到确认这个报文无效的最长时间，该时间值是所有重传请求包的最长等待时间总和。

文章编号：2096-1472(2019)-03-29-03DOI:10.19644/ki.issn2096-1472.2019.03.009软件工程 SOFTWARE ENGINEERING 第22卷第3期2019年3月V ol.22 No.3Mar. 2019SYN Flood 攻击的原理及防御张文川(兰州石化职业技术学院，甘肃 兰州 730060)摘 要：SYN-Flood攻击是当前网络上最为常见的DDoS攻击，也是最为经典的拒绝服务攻击，它利用了TCP协议实现上的一个缺陷，通过向网络服务所在端口发送大量的伪造源地址的攻击报文，就可能造成目标服务器中的半开连接队列被占满，从而阻止其他合法用户进行访问。

为了有效防范这种攻击，在分析攻击原理的基础上，发现可以使用TCP代理防御及TCP源探测防御方法来解决这个问题，经过测试证明，该办法能够有效降低SYN Flood攻击造成的危害。

关键词：DDoS攻击；STN Flood攻击；TCP代理防御；TCP源探测防御中图分类号：TP399 文献标识码：AThe Principle and Defense of SYN Flood AttackZHANG Wenchuan(Lanzhou Petrochemical College of V ocational Technology ,Lanzhou 730060,China )Abstract:SYN-Flood attack is the most common DDoS attack and the most classic denial-of-service attack on the current network.It takes advantage of a flaw in TCP protocol implementation and sends a large number of attack packets of forged source addresses to the port where the network service is located,which may cause the semi-open connection queue in the target server to be occupied,thus preventing other legal users from accessing.In order to effectively prevent this attack,on the basis of analyzing the attack principle,it is found that TCP proxy defense and TCP source detection defense methods can be used to solve this problem.Testsprove that this method can effectively reduce the harm caused by SYN Flood attack.Keywords:DdoSattack;STN Flood attack;TCP proxy defense;TCP source detection defense基金项目：全国工业和信息化职业教育教学指导委员会工信行指委“基于校企合作人才培养模式的信息化教学的研究与实践”项目编号:【2018】20号.1 引言(Introduction)过去，攻击者所面临的主要问题是网络宽带不足，受限于较慢的网络速度，攻击者无法发出过多的请求。

SYN洪泛攻击原理及其防范策略作者：陶涛来源：《电脑知识与技术》2012年第30期摘要：SYN洪泛攻击是出现在这几年的一种具有很强攻击力而又缺乏有效防御手段的Internet攻击手段，是目前网络安全界研究的热点。

TCP SYN 洪流攻击是最常见的DoS攻击手段之一。

文中着重对TCP SYN 洪流攻击及其防范措施进行了深入研究，提出了一种新的综合攻击检测技术，较好地解决了对此类攻击的防范问题。

关键词：SYN洪泛攻击；DOS攻击；TCP协议；三次握手协议；防范策略中图分类号 TP309 文献标识码：A 文章编号：1009-3044（2012）30-7208-02SYN攻击属于DOS攻击的一种，它利用TCP协议缺陷，通过发送大量的半连接请求，耗费CPU和内存资源。

SYN攻击除了能影响主机外，还可以危害路由器、防火墙等网络系统，事实上SYN攻击并不管目标是什么系统，只要这些系统打开TCP服务就可以实施。

1 SYN洪泛攻击原理及其防范策略1.1 SYN洪泛攻击所存在的基础环境SYN洪泛攻击首次出现在1996年。

当时主要是应用于攻击网络服务提供商（ISP）的邮件和Telnet服务，并造成了停机。

给服务器操作造成严重的影响。

SYN攻击利用的是TCP的三次握手机制，攻击端利用伪造的IP地址向被攻击端发出请求，而被攻击端发出的响应报文将永远发送不到目的地，那么被攻击端在等待关闭这个连接的过程中消耗了资源，如果有成千上万的这种连接，主机资源将被耗尽，从而达到攻击的目的。

TCP 传输控制块是一种包含一个连接所有信息的传输协议数据结构状态的TCP连接项目，和已建立完整连接但仍未由应用程序通过accept（）调用提取的项目）。

一个单一的传输控制块所占内存大小取决于连接中所用的TCP选项和其他一些功能的实现。

通常一个传输控制块至少280字节，在某些操作系统中已经超过了1300字节。

TCP的SYN-RECEIVED状态用于指出这个连接仅仅是半开连接，请求是否合法仍被质疑。

TCP SYN Flood攻击的原理机制/检测与防范及防御方法现在的攻击者,无所不在了.对于一些攻击手法,很多高手也都是看在眼里而没什么实质性防范措施.除了改端口,换IP,弄域名..还能做什么? 本篇文章介绍了TCP SYN Flood攻击的原理机制/检测与防范及防御方法,希望能给大伙一个思路.TCP SYN Flood攻击的机制客户端通过发送在TCP报头中SYN标志置位的数据分段到服务端来请求建立连接。

通常情况下，服务端会按照IP报头中的来源地址来返回SYN/ACK置位的数据包给客户端，客户端再返回ACK到服务端来完成一个完整的连接(Figure-1)。

在攻击发生时，客户端的来源IP地址是经过伪造的(spoofed)，现行的IP路由机制仅检查目的IP地址并进行转发，该IP包到达目的主机后返回路径无法通过路由达到的，于是目的主机无法通过TCP三次握手建立连接。

在此期间因为TCP缓存队列已经填满，而拒绝新的连接请求。

目的主机一直尝试直至超时(大约75秒)。

这就是该攻击类型的基本机制。

发动攻击的主机只要发送较少的，来源地址经过伪装而且无法通过路由达到的SYN连接请求至目标主机提供TCP服务的端口，将目的主机的TCP缓存队列填满，就可以实施一次成功的攻击。

实际情况下，发动攻击时往往是持续且高速的。

Figure-3 SYN Flood Attack这里需要使用经过伪装且无法通过路由达到的来源IP地址，因为攻击者不希望有任何第三方主机可以收到来自目的系统返回的SYN/ACK，第三方主机会返回一个RST(主机无法判断该如何处理连接情况时，会通过RST重置连接)，从而妨碍攻击进行。

Figure-4 IP Spoofing由此可以看到，这种攻击方式利用了现有TCP/IP协议本身的薄弱环节，而且攻击者可以通过IP伪装有效的隐蔽自己。

但对于目的主机来说，由于无法判断攻击的真正来源。

而不能采取有效的防御措施。

TCP SYN Flood检测与防范一、分析从上面的分析，可以看出TCP SYN Flood远程拒绝服务攻击具有以下特点：针对TCP/IP协议的薄弱环节进行攻击；发动攻击时，只要很少的数据流量就可以产生显著的效果；攻击来源无法定位；在服务端无法区分TCP连接请求是否合法。

拒绝服务攻击（Denial of Service，dos）是目前比较有效而又非常难于防御的一种网络攻击方式，它的目的就是使服务器不能够为正常访问的用户提供服务。

所以，dos对一些紧密依靠互联网开展业务的企业和组织带来了致命的威胁。

1 SYN Flood攻击介绍：拒绝服务攻击（Denial of Service，dos）是目前比较有效而又非常难于防御的一种网络攻击方式，它的目的就是使服务器不能够为正常访问的用户提供服务。

所以，dos对一些紧密依靠互联网开展业务的企业和组织带来了致命的威胁。

SYN Flood是最为有效和流行的一种dos攻击形式。

它利用TCP三次握手协议的缺陷，向目标主机发送大量的伪造源地址的SYN连接请求，消耗目标主机的资源，从而不能够为正常用户提供服务。

1.1 TCP连接建立的过程要掌握SYN Flood攻击的基本原理，必须先介绍TCP的三次握手机制。

TCP三次握手过程如下：1)客户端向服务器端发送一个SYN置位的TCP报文，包含客户端使用的端口号和初始序列号x；2)服务器端收到客户端发送来的SYN报文后，向客户端发送一个SYN和ACK 都置位的TCP报文，包含确认号为x＋1和服务器的初始序列号y；3）TCP客户端客户端端口（1024－65535）TCP服务器端服务器端口（1－1023）SYNSYN/ACKACK客户端收到服务器返回的SYN＋ACK报文后，向服务器返回一个确认号为y ＋1序号为x＋1的ACK报文，一个标准的TCP连接完成。

如图1所示：1.2 攻击原理在SYN Flood攻击中，黑客机器向受害主机发送大量伪造源地址的TCP SYN 报文，受害主机分配必要的资源，然后向源地址返回SYN＋ACK包，并等待源端返回ACK包，如图2所示。

由于源地址是伪造的，所以源端永远都不会返回ACK 报文，受害主机继续发送SYN＋ACK包，并将半连接放入端口的积压队列中，虽然一般的主机都有超时机制和默认的重传次数，但是由于端口的半连接队列的长度是有限的，如果不断的向受害主机发送大量的TCP SYN报文，半连接队列就会很快填满，服务器拒绝新的连接，将导致该端口无法响应其他机器进行的连接请求，最终使受害主机的资源耗尽。

SYN攻击原理以及防范技术据统计，在所有黑客攻击事件中，SYN攻击是最常见又最容易被利用的一种攻击手法。

相信很多人还记得2000年YAHOO网站遭受的攻击事例，当时黑客利用的就是简单而有效的SYN攻击，有些网络蠕虫病毒配合SYN攻击造成更大的破坏。

本文介绍SYN攻击的基本原理、工具及检测方法，并全面探讨SYN攻击防范技术。

一、TCP握手协议在TCP/IP协议中，TCP协议提供可靠的连接服务，采用三次握手建立一个连接。

第一次握手：建立连接时，客户端发送syn包(syn=j)到服务器，并进入SYN_SEND状态，等待服务器确认；第二次握手：服务器收到syn包，必须确认客户的SYN（ack=j+1），同时自己也发送一个SYN包（syn=k），即SYN+ACK包，此时服务器进入SYN_RECV状态；第三次握手：客户端收到服务器的SYN＋ACK包，向服务器发送确认包ACK(ack=k+1)，此包发送完毕，客户端和服务器进入ESTABLISHED状态，完成三次握手。

完成三次握手，客户端与服务器开始传送数据，在上述过程中，还有一些重要的概念：未连接队列：在三次握手协议中，服务器维护一个未连接队列，该队列为每个客户端的SYN包（syn=j）开设一个条目，该条目表明服务器已收到SYN包，并向客户发出确认，正在等待客户的确认包。

这些条目所标识的连接在服务器处于Syn_RECV状态，当服务器收到客户的确认包时，删除该条目，服务器进入ESTABLISHED状态。

Backlog参数：表示未连接队列的最大容纳数目。

SYN-ACK 重传次数服务器发送完SYN－ACK包，如果未收到客户确认包，服务器进行首次重传，等待一段时间仍未收到客户确认包，进行第二次重传，如果重传次数超过系统规定的最大重传次数，系统将该连接信息从半连接队列中删除。

注意，每次重传等待的时间不一定相同。

半连接存活时间：是指半连接队列的条目存活的最长时间，也即服务从收到SYN包到确认这个报文无效的最长时间，该时间值是所有重传请求包的最长等待时间总和。