TCP首部有6个标志比特。
SYN是其中之一,它是个同步序号,当TCP连接建立时会把SYN置1。
一般请求端会发送一个报文,其中包含这样的字段SYN 1415531521:1415531521(0)。
然后服务端收到后会返回一个ack 1415531522,ack表示确认收到。
SYN,ACK是标志位。
SEQ,AN是数据包序号。
SYN=1, ACK=0, SEQ=200 的意思是:发送的为一个SYN请求,发送端的初始数据包序号为200
SYN=1, ACK=1, SEQ=4800, AN=201 的意思是:接收端的确认信息,且接收端的初始数据包。序号为4800。
SYN,ACK是标志位
SEQ,AN是数据包序号
SYN=1, ACK=0, SEQ=200 的意思是:发送的为一个SYN请求,发送端的初始数据包序号为200
- 利用SYN缺陷发动SYN洪水攻击
TCP连接的第一个包,非常小的一种数据包(用于发出请求)。SYN 攻击包括大量此类的包,由于这些包看上去来自实际不存在的站点,因此无法有效进行处理。每个机器的欺骗包都要花几秒钟进行尝试方可放弃提供正常响应。 - SYN攻击属于DDoS攻击(DDOs攻击简单地说就是**占着茅坑不****)的一种,它利用TCP协议缺陷,通过发送大量的半连接请求,耗费CPU和内存资源。SYN攻击除了能影响主机外,还可以危害路由器、防火墙等网络系统,事实上SYN攻击并不管目标是什么系统,只要这些系统打开TCP服务就可以实施。服务器接收到连接请求(syn= j),将此信息加入未连接队列,并发送请求包给客户(syn=k,ack=j+1),此时进入SYN_RECV状态。当服务器未收到客户端的确认包时,重发请求包,一直到超时,才将此条目从未连接队列删除。配合IP欺骗,SYN攻击能达到很好的效果,通常,客户端在短时间内伪造大量不存在的IP地址,向服务器不断地发送syn包,服务器回复确认包,并等待客户的确认,由于源地址是不存在的,服务器需要不断的重发直至超时,这些伪造的SYN包将长时间占用未连接队列,正常的SYN请求被丢弃,目标系统运行缓慢,严重者引起网络堵塞甚至系统瘫痪。
- 判断是否出现SYN Flood
TcpMaxPortsExhausted域值
TCPMaxHalfOpen 域值
TCPMaxHalfOpenRetried域值
-
SYN Flood攻击防范
一类是通过防火墙、路由器等过滤网关防护,利用防范DDOs的那一套就行 -
通过隐藏真实IP方式可以实现,前提是要先找一个高防的盾机,再把IP隐藏起来,盾机要是都被打崩了,那就凉了。(最有效方法)
-
加固TCP/IP协议栈
通过设置注册表项SynAttackProtect如果出现 SYN 攻击,连接响应的超时时间将更短