SYN

攻击性质

在黑客攻击事件中，SYN攻击是最常见又最容易被利用的一种攻击手法。

SYN攻击属于DDOS攻击的一种，它利用TCP协议缺陷，通过发送大量的半连接请求，耗费CPU和内存资源。TCP协议建立连接的时候需要双方相互确认信息,来防止连接被伪造和精确控制整个数据传输过程数据完整有效。所以TCP协议采用三次握手建立一个连接。

攻击原理

关于SYN攻击防范技术，人们研究得比较早。归纳起来，主要有两大类，一类是通过防火墙、路由器等过滤网关防护，另一类是通过加固TCP/IP协议栈防范

SYNFlood利用TCP协议缺陷，发送了大量伪造的TCP连接请求，使得被攻击方资源耗尽，无法及时回应或处理正常的服务请求。一个正常的TCP连接需要三次握手，首先客户端发送一个包含SYN标志的数据包，其后服务器返回一个SYN/ACK的应答包，表示客户端的请求被接受，最后客户端再返回一个确认包ACK，这样才完成TCP连接。

在服务器端发送应答包后，如果客户端不发出确认，服务器会等待到超时，期间这些半连接状态都保存在一个空间有限的缓存队列中；如果大量的SYN包发到服务器端后没有应答，就会使服务器端的TCP资源迅速耗尽，导致正常的连接不能进入，甚至会导致服务器的系统崩溃。

攻击器

SYN攻击实现起来非常的简单，互联网上有大量现成的SYN攻击工具。

windows系统下的SYN工具

以synkill.exe为例，运行工具，选择随机的源地址和源端囗，并填写目标机器地址和TCP端囗，激活运行，很快就会发现目标系统运行缓慢。如果攻击效果不明显，可能是目标机器并未开启所填写的TCP端囗或者防火墙拒绝访问该端囗，此时可选择允许访问的TCP端囗，通常，windows系统开放tcp139端囗，UNIX系统开放tcp7、21、23等端囗。

检测攻击

检测SYN攻击非常的方便，当你在服务器上看到大量的半连接状态时，特别是源IP地址是随机的，基本上可以断定这是一次SYN攻击。我们使用系统自带的netstat工具来检测SYN攻击：

上面是在LINUX系统中看到的，很多连接处于SYN_RECV状态（在WINDOWS系统中是SYN_RECEIVED状态），源IP地址都是随机的，表明这是一种带有IP欺骗的SYN攻击。

我们也可以通过下面的命令直接查看在LINUX环境下某个端囗的未连接队列的条目数：

显示TCP端囗22的未连接数有324个，虽然还远达不到系统极限，但应该引起管理员的注意。

防范技术

关于SYN攻击防范技术，人们研究得比较早。归纳起来，主要有两大类，一类是通过防火墙、路由器等过滤网关防护，另一类是通过加固TCP/IP协议栈防范。

注册表设置

在“开始->运行->键入regedit”

启用SYN攻击保护的命名值位于注册表项HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices之下。值名称：SynAttackProtect。推荐值：2。

以下部分中的所有项和值均位于注册表项HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices之下。

指定必须在触发SYNflood保护之前超过的TCP连接请求阈值。值名称：TcpMaxPortsExhausted。推荐值：5。

启用SynAttackProtect后，该值指定SYN_RCVD状态中的TCP连接阈值，超过SynAttackProtect时，触发SYNflood保护。值名称：TcpMaxHalfOpen。推荐值数据：500。

启用SynAttackProtect后，指定至少发送了一次重传的SYN_RCVD状态中的TCP连接阈值。超过SynAttackProtect时，触发SYNflood保护。值名称：TcpMaxHalfOpenRetried。推荐值数据：400

丰富带宽资源

不难看出syn攻击消耗带宽资源所以要想防御synflood一个丰富的带宽资源是必要的，通常的流量攻击，攻击者也是利用肉鸡的带宽资源来达到攻击堵死网络的，所以这个是一个前提。

防火墙

利用防火墙来进行防护攻击是目前最有效的方法，当然前提是攻击在防护带宽范围之内，也就是为什么第二条推荐带宽资源，这是保证在防火墙前面不会造成堵塞，来达到防火墙的防护目的，笔者测试了国内的防火墙，以天鹰ddos防火墙的防护功能最为全面，syn带宽范围可以100%全部过滤，适合网站、网吧、IDC机房等行业安装，他们拥有多年攻击防护经验，可以防御已知未知的网络攻击，而且基于行为分析法达到误封最小的领先水平！