SYN flood

SYN Flood介绍

 

SYN Flood是当前最流行的DoS（拒绝服务攻击）与DDoS（分布式拒绝服务攻击）的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）的攻击方式。要明白这种攻击的基本原理，还是要从TCP连接建立的过程开始说起：

 

大家都知道，TCP与UDP不同，它是基于连接的，也就是说：为了在服务端和客户端之间传送TCP数据，必须先建立一个虚拟电路，也就是TCP连接，建立TCP连接的标准过程是这样的：

1. 首先，请求端（客户端）发送一个包含SYN标志的TCP报文，SYN即同步（Synchronize），同步报文会指明客户端使用的端口以及TCP连接的初始序号； 
2. 第二步，服务器在收到客户端的SYN报文后，将返回一个SYN+ACK的报文，表示客户端的请求被接受，同时TCP序号被加一，ACK即确认（Acknowledgement）。 
3. 第三步，客户端也返回一个确认报文ACK给服务器端，同样TCP序列号被加一，到此一个TCP连接完成。 

以上的连接过程在TCP协议中被称为三次握手（Three-way Handshake）。 

 

值得注意的是在TCP服务器收到TCP SYN request包时，在发送TCP SYN+ACK包回TCP客户机前，TCP服务器要先分配好一个数据区专门服务于这个即将形成的TCP连接。一般把收到SYN包而还未收到ACK包时的连接状态成为半开连接（Half-open Connection）。

 

问题就出在TCP连接的三次握手中，假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的（第三次握手无法完成），这种情况下服务器端一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度我们称为SYN Timeout，一般来说这个时间是分钟的数量级（大约为30秒-2分钟）；一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源----数以万计的半连接，即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大，最后的结果往往是堆栈溢出崩溃---即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求（毕竟客户端的正常请求比率非常之小），此时从正常客户的角度看来，服务器失去响应，这种情况我们称作：服务器端受到了SYN Flood攻击（SYN洪水攻击）。 

 

 

SYN Flood的防范方法

 

(1) SYN cookie

它的原理是，在TCP服务器收到TCP SYN包并返回TCP SYN+ACK包时，不分配一个专门的数据区，而是根据这个SYN包计算出一个cookie值。在收到TCP ACK包时，TCP服务器在根据那个cookie值检查这个TCP ACK包的合法性。如果合法，再分配专门的数据区进行处理未来的TCP连接。

 

该方法可以在服务器上自己使用，确实能缓解SYN Flood攻击，但如果不用SYN而用ACK攻击，DOS仍然有效。即使是这样，就算只有SYN包，由于计算cookie值并不很简单，也需要消耗资源，因此流量大时也会形成DOS的。

 

(2) SYN proxy

SYN proxy方法一般不在服务器本身使用，而是在服务器前端的防火墙上使用，防火墙上收到SYN包，自己就回复一个SYN+ACK包给发起方，在自己内部建立连接，等发起方将ACK包返回后，再重新构造SYN包发到服务器，建立真正的TCP连接，这个过程中防火墙要给发起方发送SYN+ACK一个包，给服务器发送SYN和ACK两个包，通信的后续包防火墙都应该注意修改序列号或确认号，因为防火墙回复发起方的SYN+ACK包的序列号基本不可能等于服务器发送的SYN+ACK包的序列号，所以要进行调整。syn proxy的方法可以保证到达服务器的连接都是合法的连接，有攻击时服务器并不会受到冲击，都是由防火墙来承受了，本质上也不能真正防御SYN Flood。

 

 

原文地址：http://best.newgxu.cn/gxj/?p=449