SYN Flood是当前最流行的DoS（拒绝服务攻击）与DdoS（分布式拒绝服务攻击）的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）的攻击方式。

基本原理

云盾网安专业抗SYN攻击

解决方法(第一种是缩短SYN Timeout时间， 第二种方法是设置SYN Cookie，)

SYN FLOOD

基本原理

要明白这种攻击的基本原理，还是要从TCP连接建立的过程开始说起：

大家都知道，TCP与UDP不同，它是基于连接的，也就是说：为了在服务端和客户端之间传送TCP数据，必须先建立一个虚拟电路，也就是TCP连接，建立TCP连接的标准过程是这样的：

首先，请求端（客户端）发送一个包含SYN标志的TCP报文，SYN即同步（Synchronize），同步报文会指明客户端使用的端口以及TCP连接的初始序号；

第二步，服务器在收到客户端的SYN报文后，将返回一个SYN+ACK的报文，表示客户端的请求被接受，同时TCP序号被加一，ACK即确认（Acknowledgment）。

第三步，客户端也返回一个确认报文ACK给服务器端，同样TCP序列号被加一，到此一个TCP连接完成。

以上的连接过程在TCP协议中被称为三次握手（Three-way Handshake）。

问题就出在TCP连接的三次握手中，假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的（第三次握手无法完成），这种情况下服务器端一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度我们称为SYN Timeout，一般来说这个时间是分钟的数量级（大约为30秒-2分钟）；一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源----数以万计的半连接，即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大，最后的结果往往是堆栈溢出崩溃---即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求（毕竟客户端的正常请求比率非常之小），此时从正常客户的角度看来，服务器失去响应，这种情况我们称作：服务器端受到了SYN Flood攻击（SYN洪水攻击）。

云盾网安专业抗SYN攻击

对付大规模的SYN攻击是一个系统工程，想仅仅依靠某种产品防住是不现实的，可以肯定的是，完全杜绝DDoS目前是不可能的，但通过适当的措施抵御90%的SYN攻击是可以做到的，基于攻击和防御都有成本开销的缘故，若通过适当的办法增强了抵御DDoS的能力，也就意味着加大了攻击者的攻击成本，那么绝大多数攻击者将无法继续下去而放弃，也就相当于成功的抵御了DDoS攻击。

这个系统工程往往要投入大量的网络设备、购买大的网络带宽，而且还需要把网站做相应的修改，还要配备相关人员去维护，这个工程采用后，也未必能够抵挡住外部攻击。目前，采用云盾云防御系统，可轻松应对各种DDoS攻击，同时也拥有专业的抗DDoS顾问，7x24小时的技术服务保证您的服务器任何时刻都可以得到完美的呵护，并且以攻击流量的计费模式计费，为您解决DDoS攻击问题的最经济的方式。

云盾的云防御系统，利用云中广泛的信息反馈节点，大范围地跟踪安全风险，并将防护能力快速分发到各个防护节点，集合其全局和本地的所有防御资源，能够实现大范围的主动监控和防护，对各种攻击进行实时响应，最终加强了对CC/DDoS攻击等复杂网络威胁的响应能力，提高了用户的网络整体安全性。用户在被大流量攻击的状况下，已经无法解决时所采用的解决方案。同时也是云盾网安在互联网安全界提出独创的解决方案，从根本上解决了用户由于被DDoS攻击所带来的烦恼。

云盾云防御系统是一个多层面、多角度、多结构的多元立体系安全防护体系。他是由云盾的多个安全产品整合而成的一个全新一代的防护体系。他们的组成部份分成高防服务器、高防智能DNS、高防服务器集群（高防服务器集群集成了国内外高防服务器、CDN防御主机、BGP防御主机）、集群式防火墙架构、网络监控系统、高防智能路由体系、而形成组合的一套智能的、完善的、快速响应机制的云安全防护架构。形成终极的CC/DDOS的防护架构。架构全球领先的安全防护方案！为您业务保架护航、业务永续！

云盾DDoS云防御采用是的以防御为主的分布式集群防御。管理员可通过网络监控系统的访问行为进行严密检测及安全评估。一旦发现问题，智能DNS解析系统能针对不同的网络应用服务设置检测端口，在遭受攻击使能自动切换成另一节点，保证用户的正常访问。云盾网安对每个节点服务器都配置了多个IP地址，真实数据所在的服务器IP不对外公布，网络攻击者难以检测到真实服务器IP。而值得一提的是，为了防御大规模的DDoS攻击，云盾网安组建的分布式集群防御网络每个节点都能承受不低于10G的DDoS攻击，并可根据用户需要增加节点来无限扩展防御能力。在遭受DDoS攻击之后，云盾网安的宕机检测系统会快速更换，在保证网站恢复正常的同时还能将攻击者的数据包返回发送点，使攻击源变成瘫痪状态，从而将攻击的损失降为最小。

云防御特点：

-具有强大的攻击检测和防护能力，可以抗200G以上流量的攻击

-对已知和未知的攻击都可以完美的防御

-所具备其他防火墙不具备的海量DDoS防御，在一定压力测试下对强大的DDoS攻击可以做到完美的防御

-采用透明模式，在不改变网络拓扑图的前提下，拥有强大的网络部署能力

-拥有丰富的管理能力，用户可以远程通过IE浏览器、或远程桌面跳转登录后台

-详细的攻击数据分析系统，有利于对流量进行统计分析

-运用智能负载均衡系统保证网站在线服务不中断

-只需要把被攻击的网站接到云端网络，就可以立即实现抗攻击功能

-云防御服务器的规模可以动态伸缩，满足应用和用户规模增长的需要

解决方法

从防御角度来说，有几种简单的解决方法：

第一种是缩短SYN Timeout时间，

由于SYN Flood攻击的效果取决于服务器上保持的SYN半连接数，这个值=SYN攻击的频度 x SYN Timeout，所以通过缩短从接收到SYN报文到确定这个报文无效并丢弃改连接的时间，例如设置为20秒以下（过低的SYN Timeout设置可能会影响客户的正常访问），可以成倍的降低服务器的负荷。

第二种方法是设置SYN Cookie，

就是给每一个请求连接的IP地址分配一个Cookie，如果短时间内连续受到某个IP的重复SYN报文，就认定是受到了攻击，以后从这个IP地址来的包会被丢弃。 可是上述的两种方法只能对付比较原始的SYN Flood攻击，缩短SYN Timeout时间仅在对方攻击频度不高的情况下生效，SYN Cookie更依赖于对方使用真实的IP地址，如果攻击者以数万/秒的速度发送SYN报文，同时利用SOCK_RAW随机改写IP报文中的源地址，以上的方法将毫无用武之地。

SYN FLOOD

SYN flood可以用天网防火墙来拦截，在天网防火墙受到攻击的时候会提示有IP试图连接你的端口等报警，这是受到了SYN FLOOD攻击的征兆，不是什么抓肉鸡，而是被SYN攻击了，正常情况下SYNFLOOD是攻击不进去的，所以尽管放心