分析syn flood的攻击原理，如何防御syn flood攻击

（1）    syn攻击利用TCP协议的缺陷，通过发送大量的半连接请求，耗费CPU和内存资源。服务器收到连接请求，将此信息加入到未连接队列，并发送请求包给客户，此时进入SYN_RECV状态。当服务器未收到客户端的确认包时，重发请求包，一直到超时，才将此条目从未连接的队列里删除。配合IP欺骗，SYN攻击能够达到很好的效果，通常，客户端在短时间内伪造大量不存在的IP地址，向服务器不断地发送syn请求包，服务器回复确认包，并等候客户的确认，由于源地址是不存在的，服务器需要不断地重发，直至超时，这些伪造的SYN包将长时间占用未连接队列，正常的SYN请求被放弃，目标系统运行缓慢，严重引起网络拥塞甚至系统瘫痪

（2）    syn flood防御方法：syn cookie/proxy

syn cookie 它的防御对象是syn flood，类别是：DOS攻击方式的防范手段，防范原理：修改TCP服务器端的三次握手协议

syn cookie 是对TCP服务器端的三次握手协议做了一些修改，专门用来防范SYN Flood 攻击的手段。它的原理是：在TCP服务器收到TCP syn包并返回TCP SYN+ACK包时，不分配一个专门的数据区，而是根据这个SYN包计算出一个cookie值，在收到TCP ACK包时，TCP 服务器在根据那个cookie值检查这个TCP ACK包的合法性。如果合法，再分配专门的数据区进行处理未来的TCP连接。