TCP自從1974年被發(fā)明出來之后，歷經(jīng)30多年發(fā)展，目前成為最重要的互聯(lián)網(wǎng)基礎(chǔ)協(xié)議，但TCP協(xié)議中也存在一些缺陷。

SYN攻擊就是利用TCP協(xié)議的缺陷，來導(dǎo)致系統(tǒng)服務(wù)停止正常的響應(yīng)。

SYN攻擊原理

TCP在傳遞數(shù)據(jù)前需要經(jīng)過三次握手，SYN攻擊的原理就是向服務(wù)器發(fā)送SYN數(shù)據(jù)包，并偽造源ip地址。

服務(wù)器在收到SYN數(shù)據(jù)包時，會將連接加入backlog隊列，并向源IP發(fā)送SYN-ACK數(shù)據(jù)包，并等待ACK數(shù)據(jù)包，以完成三次握手建立連接。

由于源IP地址是偽造的不存在主機IP，所以服務(wù)器無法收到ACK數(shù)據(jù)包，并會不斷重發(fā)，同時backlog隊列被不斷被攻擊的SYN連接占滿，導(dǎo)致無法處理正常的連接。

SYN攻擊處理

針對SYN攻擊的幾個環(huán)節(jié)，提出相應(yīng)的處理方法：

方式1：減少SYN-ACK數(shù)據(jù)包的重發(fā)次數(shù)（默認(rèn)是5次）：

sysctl -w net.ipv4.tcp_synack_retries=3 sysctl -w net.ipv4.tcp_syn_retries=3 

方式2：使用SYN Cookie技術(shù)：

sysctl -w net.ipv4.tcp_syncookies=1 

方式3：增加backlog隊列（默認(rèn)是1024）：

sysctl -w net.ipv4.tcp_max_syn_backlog=2048 

方式4：限制SYN并發(fā)數(shù)：

iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT --limit 1/s

SYN攻擊模擬

可以用之前介紹的hping工具來模擬SYN攻擊，參見《Linux常用網(wǎng)絡(luò)工具：hping高級主機掃描》；

還有一款synkill也可以用來模擬SYN攻擊。

記錄，為更好的自己！