TCP SYN 洪水（又名 SYN 洪水）是一種 分布式拒絕服務 ( DDoS ) 攻擊，它利用正常 TCP 三向握手的一部分 來消耗目標服務器上的資源并使其無響應。本質上，使用 SYN flood DDoS，攻擊者發(fā)送 TCP 連接請求的速度比目標機器處理它們的速度更快，從而導致網絡飽和。

攻擊描述

當客戶端和服務器建立正常的 TCP “三次握手”時，交換看起來像這樣：

1. 客戶端通過向服務器發(fā)送 SYN（同步）消息來請求連接。
2. 服務器通過向客戶端發(fā)送 SYN-ACK（同步確認）消息來確認。
3. 客戶端以 ACK（確認）消息進行響應，并建立連接。

在 SYN 泛洪攻擊中，攻擊者經常使用虛假 IP 地址向目標服務器上的每個端口發(fā)送重復的 SYN 數(shù)據包。服務器在沒有意識到攻擊的情況下，接收到多個明顯合法的建立通信請求。它使用來自每個開放端口的 SYN-ACK 數(shù)據包來響應每次嘗試。

惡意客戶端要么不發(fā)送預期的 ACK，要么——如果 IP 地址被欺騙——從一開始就不會收到 SYN-ACK。無論哪種方式，受到攻擊的服務器都將等待對其 SYN-ACK 數(shù)據包的確認一段時間。

在此期間，服務器無法通過發(fā)送 RST 數(shù)據包來關閉連接，連接保持打開狀態(tài)。在連接超時之前，另一個SYN 數(shù)據包將到達。這使得越來越多的連接處于半開狀態(tài)——事實上，SYN 泛洪攻擊也被稱為“半開”攻擊。最終，隨著服務器的連接溢出表填滿，對合法客戶端的服務將被拒絕，服務器甚至可能出現(xiàn)故障或崩潰。

雖然上面描述的“經典”SYN 洪水試圖耗盡網絡端口，但 SYN 數(shù)據包也可用于DDoS 攻擊，試圖用假數(shù)據包堵塞管道以實現(xiàn)網絡飽和。數(shù)據包的類型并不重要。盡管如此，還是經常使用 SYN 數(shù)據包，因為它們在默認情況下被拒絕的可能性最小。

緩解方法

盡管現(xiàn)代操作系統(tǒng)能夠更好地管理資源，這使得連接表溢出變得更加困難，但服務器仍然容易受到SYN 洪水攻擊。

有許多常用技術可以緩解 SYN 洪水攻擊，包括：

• 微塊——管理員可以在服務器內存中為每個傳入的 SYN 請求分配一個微記錄（少至 16 個字節(jié)），而不是一個完整的連接對象。
• SYN cookie——使用加密散列，服務器發(fā)送其 SYN-ACK 響應，其中包含由客戶端 IP 地址、端口號和可能的其他唯一標識信息構成的序列號 (seqno)。當客戶端響應時，這個哈希值包含在 ACK 數(shù)據包中。服務器驗證 ACK，然后才為連接分配內存。
• RST cookie——對于來自給定客戶端的第一個請求，服務器故意發(fā)送無效的 SYN-ACK。這應該會導致客戶端生成一個 RST 數(shù)據包，告訴服務器有問題。如果收到，服務器知道請求是合法的，記錄客戶端，并接受來自它的后續(xù)傳入連接。
• 堆棧調整——管理員可以調整 TCP 堆棧以減輕 SYN 洪水的影響。這可以涉及減少超時直到堆棧釋放分配給連接的內存，或者有選擇地丟棄傳入的連接。

顯然，上述所有方法都依賴于目標網絡處理大規(guī)模 DDoS 攻擊的能力，流量以每秒數(shù)十千兆（甚至數(shù)百千兆）為單位。Imperva 緩解了 38 天的 SYN 泛洪和 DNS 泛洪 多向量 DDoS 攻擊。

Imperva DDoS 保護 利用 Anycast 技術 來平衡其高性能清理中心全球網絡中傳入的 DDoS 請求。憑借其全球網絡的綜合能力，Incapsula 可以經濟高效地超過攻擊者資源，從而使 DDoS 攻擊無效。該服務可按需擴展，提供充足的資源來應對最大規(guī)模的 DDoS 攻擊。

為確保業(yè)務連續(xù)性，Imperva 過濾算法不斷分析傳入的 SYN 請求，使用 SYN cookie 有選擇地將資源分配給合法訪問者。這實現(xiàn)了透明的 DDoS 緩解，沒有停機時間，任何其他業(yè)務中斷的延遲。