web安全的常见问题分析之SYN攻击

一、SYN攻击

1. SYN攻击

1）SYN攻击：攻击客户端在短时间内伪造大量不存在的IP地址，向服务器不断地发送SYN包，服务器回复确认包，并等待客户的确认。由于源地址是不存在的，服务器需要不断的重发直至超时，这些伪造的SYN包将长时间占用未连接队列，正常的SYN请求被丢弃，导致目标系统运行缓慢，严重者会引起网络堵塞甚至系统瘫痪。SYN 攻击是一种典型的DoS/DDoS攻击。

2. 检测SYN攻击

1）检测SYN攻击：检测 SYN 攻击非常的方便，当你在服务器上看到大量的半连接状态时，特别是源IP地址是随机的，基本上可以断定这是一次SYN攻击。在Linux/Unix 上可以使用系统自带的 netstats 命令来检测 SYN 攻击。

3. 检测SYN攻击

1）防御SYN攻击：缩短超时（SYN Timeout）时间、增加最大半连接数、过滤网关防护、SYN cookies技术