SYN Flood

SYN Flood是互聯(lián)網(wǎng)上最原始、最經典的DDoS攻擊之一。它利用了TCP協(xié)議的三次握手機制，攻擊者通常向服務器發(fā)送海量的變源IP地址或變源端口的TCP SYN報文，服務器響應了這些報文后就會生成大量的半連接，當系統(tǒng)資源被耗盡后，服務器將無法提供正常的服務。

增加服務器性能，提供更多的連接能力對于SYN Flood的海量報文來說杯水車薪，防御SYN Flood的關鍵在于判斷哪些連接請求來自于真實源，屏蔽非真實源的請求以保障正常的業(yè)務請求能得到服務。

SYN Flood是如何發(fā)生的

SYN Flood顧名思義就是用洪水一樣的SYN報文進行攻擊。SYN報文指的是TCP協(xié)議中的Synchronize報文，是TCP三次握手過程中的首個報文。正常的TCP三次握手過程如下：

在連接超時之前，服務器會一直等待ACK報文，此時該連接狀態(tài)為半開放連接（也稱半連接）。半連接會占用服務器的連接數(shù)，當連接數(shù)被占滿時，服務器將無法提供正常的服務。黑客正是通過這個機制來實現(xiàn)SYN Flood。黑客通常通過偽造的源IP地址或端口，向服務器發(fā)送大量的SYN報文，請求建立TCP連接。

由于源IP地址或端口是偽造的，服務器發(fā)送的SYN-ACK報文永遠不會被真實的客戶端接收和回應。極少數(shù)情況下，黑客也會使用真實源IP地址，但他們只是通過攻擊工具發(fā)送海量SYN報文，工具并不會響應來自服務器SYN-ACK報文。無論如何服務器都接收不到ACK報文，產生了大量的半連接。

此時服務器需要維持一張巨大的等待列表，不停地重試發(fā)送SYN-ACK報文，同時大量的資源無法釋放。當服務器被這些惡意的半連接占滿時，就不會再響應新的SYN報文，從而導致正常的用戶無法建立TCP連接。

如何識別和防御SYN Flood

對于服務器自身來說，最直接的做法就是提高服務能力，比如組建集群/升級硬件。但是這種方式成本巨大，且對于海量的攻擊報文來說并沒有太大的作用。因此必須在這些攻擊報文到達服務器之前就進行攔截。

然而對于防火墻這類安全設備而言，SYN報文是正常的業(yè)務報文，防火墻的安全策略必須允許其通過，否則服務器就無法對外提供服務。管理員無法預知哪些是虛假源，也無法做到快速、自動地配置或取消安全策略來應對不可預期的攻擊流量。

此時就需要Anti-DDoS系統(tǒng)的能力，它部署在網(wǎng)絡入口處，在服務器之前處理SYN報文，識別出虛假源，屏蔽來自這些地址的報文，只將合法的SYN報文傳遞給服務器。Anti-DDoS系統(tǒng)處理SYN報文主要有兩種手段，源認證和首包丟棄。

源認證：Anti-DDoS系統(tǒng)攔截客戶端發(fā)送的SYN報文，代替服務器向客戶端發(fā)送SYN-ACK報文，如果客戶端不應答，則認為該客戶端為虛假源；如果客戶端應答，則Anti-DDoS系統(tǒng)認為該客戶端為真實源，并將其IP地址加入白名單，在一段時間允許該源發(fā)送的所有SYN報文通過，也不做代答。

首包丟棄：Anti-DDoS系統(tǒng)利用首包丟棄來解決大量反彈的SYN-ACK報文會對網(wǎng)絡造成一定壓力的問題。正常情況下客戶端發(fā)送SYN報文后如果在一定時間沒有收到服務器的SYN-ACK應答，客戶端會重新發(fā)送SYN報文。Anti-DDoS系統(tǒng)會丟棄掉收到的第一個SYN報文。SYN Flood攻擊時，黑客發(fā)送的絕大多數(shù)是變源的SYN報文，所有的SYN報文對于Anti-DDoS系統(tǒng)來說都是首包，都將被直接丟棄。如果客戶端重傳了SYN報文，Anti-DDoS系統(tǒng)再對該報文進行源認證。

編輯：jq