什么是TCP SYN洪水攻击？

TCP SYN 洪水（又名 SYN 洪水）是一种 分布式拒绝服务 ( DDOS ) 攻击，它利用正常 TCP 三向握手的一部分 来消耗目标服务器上的资源并使其无响应。本质上，使用 SYN flood DDoS，攻击者发送 TCP 连接请求的速度比目标机器处理它们的速度更快，从而导致网络饱和。,,
攻击描述,当客户端和服务器建立正常的 TCP “三次握手”时，交换看起来像这样：,在 SYN 泛洪攻击中，攻击者经常使用虚假 IP 地址向目标服务器上的每个端口发送重复的 SYN 数据包。服务器在没有意识到攻击的情况下，接收到多个明显合法的建立通信请求。它使用来自每个开放端口的 SYN-ACK 数据包来响应每次尝试。,恶意客户端要么不发送预期的 ACK，要么——如果 IP 地址被欺骗——从一开始就不会收到 SYN-ACK。无论哪种方式，受到攻击的服务器都将等待对其 SYN-ACK 数据包的确认一段时间。,在此期间，服务器无法通过发送 RST 数据包来关闭连接，连接保持打开状态。在连接超时之前，另一个SYN 数据包将到达。这使得越来越多的连接处于半开状态——事实上，SYN 泛洪攻击也被称为“半开”攻击。最终，随着服务器的连接溢出表填满，对合法客户端的服务将被拒绝，服务器甚至可能出现故障或崩溃。,虽然上面描述的“经典”SYN 洪水试图耗尽网络端口，但 SYN 数据包也可用于DDoS 攻击，试图用假数据包堵塞管道以实现网络饱和。数据包的类型并不重要。尽管如此，还是经常使用 SYN 数据包，因为它们在默认情况下被拒绝的可能性最小。,,
缓解方法,尽管现代操作系统能够更好地管理资源，这使得连接表溢出变得更加困难，但服务器仍然容易受到SYN 洪水攻击。,有许多常用技术可以缓解 SYN 洪水攻击，包括：,显然，上述所有方法都依赖于目标网络处理大规模 DDoS 攻击的能力，流量以每秒数十千兆（甚至数百千兆）为单位。Imperva 缓解了 38 天的 SYN 泛洪和 DNS 泛洪 多向量 DDoS 攻击。,,Imperva DDoS 保护 利用 Anycast 技术 来平衡其高性能清理中心全球网络中传入的 DDoS 请求。凭借其全球网络的综合能力，Incapsula 可以经济高效地超过攻击者资源，从而使 DDoS 攻击无效。该服务可按需扩展，提供充足的资源来应对最大规模的 DDoS 攻击。,为确保业务连续性，Imperva 过滤算法不断分析传入的 SYN 请求，使用 SYN cookie 有选择地将资源分配给合法访问者。这实现了透明的 DDoS 缓解，没有停机时间，任何其他业务中断的延迟。,
,TCP SYN 洪水（又名 SYN 洪水）是一种 分布式拒绝服务 ( DDoS ) 攻击，它利用正常 TCP 三向握手的一部分 来消耗目标服务器上的资源并使其无响应。本质上，使用 SYN flood DDoS，攻击者发送 TCP 连接请求的速度比目标机器处理它们的速度更快，从而导致网络饱和。,恶意客户端要么不发送预期的 ACK，要么——如果 IP 地址被欺骗——从一开始就不会收到 SYN-ACK。无论哪种方式，受到攻击的服务器都将等待对其 SYN-ACK 数据包的确认一段时间。,