洪水攻击什么是syn洪水攻击

请简单描述SYN洪水攻击的原理？

SYN洪水攻击 原理 SYN攻击 最近对SYN Flood特别感兴趣，看到一个关于SYN cookie firewall的文章，在google搜了一下，没中文的，翻译他一下 本文介绍了4个概念 一：介绍SYN 二：什么是SYN洪水攻击 三：什么是SYN cookie 四：什么是SYN cookie防火墙 C=client(客户器) S=Server(服务器) FW=Firewall(防火墙) 一：介绍SYN SYN cookie是一个防止SYN洪水攻击技术。

他由D. J. Bernstein和Eric Schenk发明。

现在SYN COOKIE已经是linux内核的一部分了（我插一句 ，默认的stat是no）,但是在linux系统的执行过程中它只保护linux系统。

我们这里只是说创建一个linux防火墙，他可以为整个网络和所有的网 络操作系统提供SYN COOKIE保护你可以用这个防火墙来阻断半开放式tcp连接，所以这个受保护的系统不会进入半开放状态(TCP_SYN_RECV)。

当 连接完全建立的时候，客户机到服务器的连接要通过防火墙来中转完成。

二：什么是SYN洪水攻击？（来自CERT的警告） 当一个系统（我们叫他客户端）尝试和一个提供了服务的系统（服务器）建立TCP连接，C和服务端会交换一系列报文。

这种连接技术广泛的应用在各种TCP连接中，例如,Web,email,等等。

首先是C发送一个SYN报文给服务端，然后这个服务端发送一个SYN-ACK包以回应C，接着，C就返回一个ACK包来实现一次完 整的TCP连接。

就这样，C到服务端的连接就建立了，这时C和服务端就可以互相交换数据了。

下面是上文的图片说明：） Client Server ------ ------ SYN--------------------> <--------------------SYN-ACK ACK--------------------> Client and server can now send service-specific data 在S返回一个确认的SYN-ACK包的时候有个潜在的弊端，他可能不会接到C回应的ACK包。

这个也就是所谓的半开放连接，S需要 耗费一定的数量的系统内存来等待这个未决的连接，虽然这个数量是受限的，但是恶意者可以通过创建很多的半开放式连接来发动SYN洪水攻击 。

通过ip欺骗可以很容易的实现半开放连接。

攻击者发送SYN包给受害者系统，这个看起来是合法的，但事实上所谓的C根本不会回应这个 。

SYN-ACK报文，这意味着受害者将永远不会接到ACK报文。

而此时，半开放连接将最终耗用受害者所有的系统资源，受害者将不能再接收任何其他的请求。

通常等待ACK返回包有超时限制，所以半开放 。

连接将最终超时，而受害者系统也会自动修复。

虽然这样，但是在受害者系统修复之前，攻击者可以很容易的一直发送虚假的SYN请求包来持续 攻击。

在大多数情况下，受害者几乎不能接受任何其他的请求，但是这种攻击不会影响到已经存在的进站或者是出站连接。

虽然这样，受害者系统 还是可能耗尽系统资源，以导致其他种种问题。

攻击系统的位置几乎是不可确认的，因为SYN包中的源地址多数都是虚假的。

当SYN包到达受害者系统的时候，没有办法找到他的真实地址 ，因为在基于源地址的数据包传输中，源ip过滤是唯一可以验证数据包源的方法。

三：什么是SYN cookie？ SYN cookie就是用一个cookie来响应TCP SYN请求的TCP实现，根据上面的描述，在正常的TCP实现中，当S接收到一个SYN数据包，他返回 一个SYN-ACK包来应答，然后进入TCP-SYN-RECV（半开放连接）状态来等待最后返回的ACK包。

S用一个数据空间来描述所有未决的连接， 然而这个数据空间的大小是有限的，所以攻击者将塞满这个空间。

在TCP SYN COOKIE的执行过程中，当S接收到一个SYN包的时候，他返回一个SYN-ACK包，这个数据包的ACK序列号是经过加密的，也就 是说，它由源地址，端口源次序，目标地址，目标端口和一个加密种子计算得出。

然后S释放所有的状态。

如果一个ACK包从C返回， S将重新计算它来判断它是不是上个SYN-ACK的返回包。

如果这样，S就可以直接进入TCP连接状态并打开连接。

这样，S就可以 避免守侯半开放连接了。

以上只是SYN COOKIE的基本思路，它在应用过程中仍然有许多技巧。

请在前几年的kernel邮件列表查看archive of discussions的相关详细 内容。

4，什么是SYN COOKIE 防火墙 SYN COOKIE 防火墙是SYN cookie的一个扩展，SYN cookie是建立在TCP堆栈上的，他为linux操作系统提供保护。

SYN cookie防火墙是linux的 一大特色，你可以使用一个防火墙来保护你的网络以避免遭受SYN洪水攻击。

下面是SYN cookie防火墙的原理 client firewall server ------ ---------- ------ 1. SYN----------- - - - - - - - - - -> 2. <------------SYN-ACK(cookie) 3. ACK----------- - - - - - - - - - -> 4. - - - - - - -SYN---------------> 5. <- - - - - - - - - ------------SYN-ACK 6. - - - - - - -ACK---------------> 7. -----------> relay the -------> <----------- connection <------- 1:一个SYN包从C发送到S 2：防火墙在这里扮演了S的角色来回应一个带SYN cookie的SYN-ACK包给C 3：C发送ACK包，接着防火墙和C的连接就建立了。

4：防火墙这个时候扮演C的角色发送一个SYN给S 5：S返回一个SYN给C 6：防火墙扮演C发送一个ACK确认包给S，这个时候防火墙和S的连接也就建立了 7：防火墙转发C和S间的数据 如果系统遭受SYN Flood，那么第三步就不会有，而且无论在防火墙还是S都不会收到相应在第一步的SYN包，所以我们就击退了这次SYN洪水攻 击。

SYN洪水攻击是病毒吗？

syn flood 链接洪水，它属于TCP的体制漏洞，非常难防范，我也没有太好的办法。

2）选折抵抗 可以用linux 加cookies 做法 echo 1 > /proc//tcp_syncookies 3）可以考虑购买硬件防火墙（如果资金允许） syn攻击是利用TCP的3次握手，他只给你前两次的握手，你的内存就会分给他内存地址，他又不给你第3次握手，你的系统慢慢就会瘫痪 一般的方法就是用6次握手机制解决 前面的2，3都是这个原理 SYN是攻击,不是病毒。

。

。

。

。

。

。

。

。

。

。

。

。

。

什么是syn洪水攻击

DoS是Denial of Service的简称，即拒绝服务，造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。

最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。

带宽攻击指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求就无法通过。

连通性攻击指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。

如： 　　* 试图FLOOD服务器，阻止合法的网络通讯 　　* 破坏两个机器间的连接，阻止访问服务 　　* 阻止特殊用户访问服务 　　* 破坏服务器的服务或者导致服务器死机 　　不过，只有那些比较阴险的攻击者才单独使用DOS攻击，破坏服务器。

通常，DOS攻击会被作为一次入侵的一部分，比如，绕过入侵检测系统的时候，通常从用大量的攻击出发，导致入侵检测系统日志过多或者反应迟钝，这样，入侵者就可以在潮水般的攻击中混骗过入侵检测系统。

　　DoS 攻 击 (Denial of Service，简称DOS)即拒绝服务攻击，是指攻击者通过消耗受害网络的带宽，消耗受害主机的系统资源，发掘编程缺陷，提供虚假路由或DNS信息，使被攻击目标不能正常工作。

实施DoS攻击的工具易得易用，而且效果明显。

仅在美国，每周的DoS攻击就超过4 000次，攻击每年造成的损失达上千万美元{irl。

一般的DoS攻击是指一台主机向目的主机发送攻击分组(1:1)，它的威力对于带宽较宽的站点几乎没有影响;而分布式拒绝服务攻击(Distributed Denial of Service，简称DDoS)同时发动分布于全球的几千台主机对目的主机攻击(m:n ),即使对于带宽较宽的站点也会产生致命的效果。

随着电子商业在电子经济中扮演越来越重要的角色，随着信息战在军事领域应用的日益广泛，持续的DoS攻击既可能使某些机构破产，也可能使我们在信息战中不战而败。

可以毫不夸张地说，电子恐怖活动的时代已经来临。

　　DoS 攻 击 中，由于攻击者不需要接收来自受害主机或网络的回应，它的IP包的源地址就常常是伪造的。

特别是对DDoS攻击，最后实施攻击的若干攻击器本身就是受害者。

若在防火墙中对这些攻击器地址进行IP包过滤，则事实上造成了新的DDS攻击。

为有效地打击攻击者，必须设法追踪到攻击者的真实地址和身份。

　　硬件防火墙 　　硬件防火墙是保障内部网络安全的一道重要屏障。

它的安全和稳定，直接关系到整个内部网络的安全。

因此，日常例行的检查对于保证硬件防火墙的安全是非常重要的。

　　系统中存在的很多隐患和故障在暴发前都会出现这样或那样的苗头，例行检查的任务就是要发现这些安全隐患，并尽可能将问题定位，方便问题的解决。

　　一般来说，硬件防火墙的例行检查主要针对以下内容： 　　1.硬件防火墙的配置文件 　　2.硬件防火墙的磁盘使用情况 　　3.硬件防火墙的CPU负载 　　4.硬件防火墙系统的精灵程序 　　5.系统文件 　　6.异常日志 　　现在市场上针对这些攻击的有很多知名的硬防，如：金盾硬防集（专业做硬防技术的单位，非常不错的），傲盾硬防集（开始不错，后来自己也做了机房了，做硬防的公司转型做机房了，印像不好！我觉得人还是做好自己的工作好些，做专！）其外的还有冰盾，黑洞，黑盾，绿盾，威盾，等等。

　　目前全国有些不错的机房，主要是网通和电信两个机房线路： 　　网通大硬防机房：大连网通（8G硬防集），辽宁网通（10G硬防集），河南网通（硬防集10G） 　　电信大硬防机房：江苏电信（20G硬防集），浙江电信（8G），金华（10G） 　　DoS攻击方法 　　Synflood: 该攻击以多个随机的源主机地址向目的主机发送SYN包，而在收到目的主机的SYN ACK后并不回应，这样，目的主机就为这些源主机建立了大量的连接队列，而且由于没有收到ACK一直维护着这些队列，造成了资源的大量消耗而不能向正常请求提供服务。

　　Smurf：该攻击向一个子网的广播地址发一个带有特定请求（如ICMP回应请求）的包，并且将源地址伪装成想要攻击的主机地址。

子网上所有主机都回应广播包请求而向被攻击主机发包，使该主机受到攻击。

　　Land-based：攻击者将一个包的源地址和目的地址都设置为目标主机的地址，然后将该包通过IP欺骗的方式发送给被攻击主机，这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环，从而很大程度地降低了系统性能。

　　Ping of Death：根据TCP/IP的规范，一个包的长度最大为65536字节。

尽管一个包的长度不能超过65536字节，但是一个包分成的多个片段的叠加却能做到。

当一个主机收到了长度大于65536字节的包时，就是受到了Ping of Death攻击，该攻击会造成主机的宕机。

　　Teardrop：IP数据包在网络传递时，数据包可以分成更小的片段。

攻击者可以通过发送两段（或者更多）数据包来实现TearDrop攻击。

第一个包的偏移量为0，长度为N，第二个包的偏移量小于N。

为了合并这些数据段，TCP/IP堆栈会分配超乎寻常的巨大资源，从而造成系统资源的缺乏甚至机器的重新启动。

　　PingSweep：使用ICMP Echo轮询多个主机。

　　Pingflood: 该攻击在短时间内向目的主机发送大量ping包，造成网络堵塞或主机资源耗尽。