SYN攻击如何防御

SYN攻击是DDOS攻击中的一种，也是利用大量的虚假访问消耗服务器资源，达到服务器拒绝访问的目的，我们曾经讲解过DDOS攻击就是洪水攻击。通过大量的垃圾流量占用服务器资源，拒绝正常的用户访问服务器。今天我们看看SYN攻击是怎么怎么实现攻击服务器的。

　　当一个客户端尝试和一个服务器建立TCP连接，客户端和服务端会交换一系列报文。 这种连接技术广泛的应用在各种TCP连接中，例如telnet,Web,email,等等。

　　首先是客户端发送一个SYN报文给服务端，然后这个服务端发送一个SYN-ACK包以回应客户端，接着，客户端就返回一个ACK包来实现一次完 整的TCP连接。在服务端返回一个确认的SYN-ACK包的时候有个潜在的弊端，他可能不会接到客户端回应的ACK包。这个也就是所谓的半开放连接，服务端需要耗费一定的数量的系统内存来等待这个未决的连接，虽然这个数量是受限的，但是恶意者可以通过创建很多的半开放式连接来发动SYN洪水攻击 。

　　通过ip欺骗可以很容易的实现半开放连接。攻击者发送SYN包给服务端系统，这个看起来是合法的，但事实上所谓的客户端根本不会回应这个 。SYN-ACK报文，这意味着服务端将永远不会接到ACK报文。 而此时，半开放连接将最终耗用受害者所有的系统资源，受害者将不能再接收任何其他的请求。通常等待ACK返回包有超时限制，所以半开放 。

　　Client —— ——Server

　　SYN——————–>

　　<——————–SYN-ACK

　　ACK——————–>

　　Client and server can now

　　send service-specific data

　　连接将最终超时，而受害者系统也会自动修复。虽然这样，但是在受害者系统修复之前，攻击者可以很容易的一直发送虚假的SYN请求包来持续攻击。 在大多数情况下，受害者几乎不能接受任何其他的请求，但是这种攻击不会影响到已经存在的进站或者是出站连接。虽然这样，受害者系统 还是可能耗尽系统资源，以导致其他种种问题。

　　攻击系统的位置几乎是不可确认的，因为SYN包中的源地址多数都是虚假的。当SYN包到达受害者系统的时候，没有办法找到他的真实地址 ，因为在基于源地址的数据包传输中，源ip过滤是唯一可以验证数据包源的方法。

　　我们绿盟黑洞防火墙有SYN过滤网关防护功能，防火墙过滤SYN的原理是什么呢，我们看下绿盟黑洞防火墙在群联高防是怎么介入实现防护SYN攻击的：

　　1. SYN----------- - - - - - - - - - ->

　　2. <------------SYN-ACK(cookie)

　　3. ACK----------- - - - - - - - - - ->

　　4. - - - - - - -SYN--------------->

　　5. <- - - - - - - - - ------------SYN-ACK

　　6. - - - - - - -ACK--------------->

　　7. -----------> relay the ------->

　　<----------- connection <-------

　　1:一个SYN包从客户端发送到服务端。

　　2：防火墙在这里扮演了服务端的角色来回应一个带SYN cookie的SYN-ACK包给客户端。

　　3：客户端发送ACK包，接着防火墙和客户端的连接就建立了。

　　4：防火墙这个时候再扮演客户端的角色发送一个SYN给服务端。

　　5：服务端返回一个SYN给客户端 。

　　6：防火墙扮演客户端发送一个ACK确认包给服务端，这个时候防火墙和服务端的连接也就建立了 。

　　7：防火墙转发客户端和服务端之间的数据 。

　　如果系统遭受SYN Flood，那么第三步就不会有，而且无论在防火墙还是服务端都不会收到相应在第一步的SYN包，所以我们就击退了这次SYN洪水攻击。

　　通过以上可以看到绿盟黑洞防火墙在介入TCP协议中扮演客户端发送确认包，通过防火墙的中间传送达到服务器和客户的正常连通，如果是SYN攻击，则在防火墙这里就被过滤了，不会消耗服务器的资源，保证服务器正常运行，群联科技专注高防十六年，出口带宽可以达到单台5T的防护，这个防护能力在国内可以说是顶尖的高防了，加上绿盟黑洞防火墙和上层云清洗，可以实现攻击流量秒清洗，人工售后24H在线，订制不死防护安全防护方案，可以保证高防客户的服务器安全稳定的运行。