SYN 洪水（半開(kāi)連接攻擊）是一種拒絕服務(wù) (DDoS) 攻擊，旨在耗盡可用服務(wù)器資源，致使服務(wù)器無(wú)法傳輸合法流量。通過(guò)重復(fù)發(fā)送初始連接請(qǐng)求 (SYN) 數(shù)據(jù)包，攻擊者將可擊垮目標(biāo)服務(wù)器計(jì)算機(jī)上的所有可用端口，導(dǎo)致目標(biāo)設(shè)備在響應(yīng)合法流量時(shí)表現(xiàn)遲鈍乃至全無(wú)響應(yīng)。

SYN 洪水攻擊如何工作？

SYN 洪水攻擊利用?TCP?連接的握手過(guò)程發(fā)動(dòng)攻擊。正常情況下，TCP 連接將完成三次握手以建立連接。

1. 首先，客戶端向服務(wù)器發(fā)送 SYN 數(shù)據(jù)包以發(fā)起連接。
2. 接著，服務(wù)器通過(guò) SYN/ACK 數(shù)據(jù)包對(duì)該初始數(shù)據(jù)包做出響應(yīng)，以便確認(rèn)通信。
3. 最后，客戶端返回 ACK 數(shù)據(jù)包以確認(rèn)接到服務(wù)器發(fā)出的數(shù)據(jù)包。完成這一系列數(shù)據(jù)包發(fā)送和接收操作后，TCP 連接將處于打開(kāi)狀態(tài)并且能夠發(fā)送和接收數(shù)據(jù)。

為發(fā)起拒絕服務(wù)攻擊，攻擊者需利用這樣一項(xiàng)事實(shí)：收到初始 SYN 數(shù)據(jù)包后，服務(wù)器將通過(guò)一個(gè)或多個(gè) SYN/ACK 數(shù)據(jù)包做出回響，等待完成握手過(guò)程的最后一步。工作方式如下：

1. 攻擊者通常使用偽造的?IP 地址向目標(biāo)服務(wù)器發(fā)送大量 SYN 數(shù)據(jù)包。
2. 然后，服務(wù)器分別對(duì)每一項(xiàng)連接請(qǐng)求做出響應(yīng)，并確保打開(kāi)的端口做好接收響應(yīng)的準(zhǔn)備。
3. 在服務(wù)器等待最后一個(gè) ACK 數(shù)據(jù)包（永遠(yuǎn)不會(huì)到達(dá)）的過(guò)程中，攻擊者將繼續(xù)發(fā)送更多 SYN 數(shù)據(jù)包。每當(dāng)有新的 SYN 數(shù)據(jù)包到達(dá)，服務(wù)器都會(huì)臨時(shí)打開(kāi)一個(gè)新的端口并在一段特定時(shí)間內(nèi)保持連接；用遍所有可用端口后，服務(wù)器將無(wú)法正常運(yùn)行。

在網(wǎng)絡(luò)中，如果服務(wù)器連接處于打開(kāi)狀態(tài)但另一端的機(jī)器連接未打開(kāi)，則視為半開(kāi)連接。在此類 DDoS 攻擊中，目標(biāo)服務(wù)器將使連接一直處于打開(kāi)狀態(tài)，靜待各個(gè)連接超時(shí)，避免再次開(kāi)放端口。因此，此類攻擊可視為“半開(kāi)連接攻擊”。

惡意用戶可通過(guò)三種不同方式發(fā)起 SYN 洪水攻擊：

1. 直接攻擊：不偽造?IP 地址的 SYN 洪水攻擊稱為直接攻擊。在此類攻擊中，攻擊者完全不屏蔽其 IP 地址。由于攻擊者使用具有真實(shí) IP 地址的單一源設(shè)備發(fā)起攻擊，因此很容易發(fā)現(xiàn)并清理攻擊者。為使目標(biāo)機(jī)器呈現(xiàn)半開(kāi)狀態(tài)，黑客將阻止個(gè)人機(jī)器對(duì)服務(wù)器的 SYN-ACK 數(shù)據(jù)包做出響應(yīng)。為此，通常采用以下兩種方式實(shí)現(xiàn)：部署防火墻規(guī)則，阻止除 SYN 數(shù)據(jù)包以外的各類傳出數(shù)據(jù)包；或者，對(duì)傳入的所有 SYN-ACK 數(shù)據(jù)包進(jìn)行過(guò)濾，防止其到達(dá)惡意用戶機(jī)器。實(shí)際上，這種方法很少使用（即便使用過(guò)也不多見(jiàn)），因?yàn)榇祟惞粝喈?dāng)容易緩解 – 只需阻止每個(gè)惡意系統(tǒng)的 IP 地址。哪怕攻擊者使用僵尸網(wǎng)絡(luò)（如?Mirai 僵尸網(wǎng)絡(luò)），通常也不會(huì)刻意屏蔽受感染設(shè)備的 IP。
2. 欺騙攻擊：惡意用戶還可以偽造其發(fā)送的各個(gè) SYN 數(shù)據(jù)包的 IP 地址，以便阻止緩解措施并加大身份暴露難度。雖然數(shù)據(jù)包可能經(jīng)過(guò)偽裝，但還是可以通過(guò)這些數(shù)據(jù)包追根溯源。此類檢測(cè)工作很難開(kāi)展，但并非不可實(shí)現(xiàn)；特別是，如果 Internet 服務(wù)提供商 (ISP) 愿意提供幫助，則更容易實(shí)現(xiàn)。
3. 分布式攻擊（DDoS）：如果使用僵尸網(wǎng)絡(luò)發(fā)起攻擊，則追溯攻擊源頭的可能性很低。隨著混淆級(jí)別的攀升，攻擊者可能還會(huì)命令每臺(tái)分布式設(shè)備偽造其發(fā)送數(shù)據(jù)包的 IP 地址。哪怕攻擊者使用僵尸網(wǎng)絡(luò)（如 Mirai 僵尸網(wǎng)絡(luò)），通常也不會(huì)刻意屏蔽受感染設(shè)備的 IP。

惡意用戶可以通過(guò) SYN 洪水攻擊嘗試在目標(biāo)設(shè)備或服務(wù)中創(chuàng)建拒絕服務(wù)，其流量遠(yuǎn)低于其他 DDoS 攻擊。SYN 攻擊不屬于容量耗盡攻擊，其目的并非使目標(biāo)周圍的網(wǎng)絡(luò)基礎(chǔ)設(shè)施達(dá)到飽和，只需保證大于目標(biāo)操作系統(tǒng)的可用積壓工作即可。如果攻擊者能夠確定積壓工作規(guī)模以及每個(gè)連接保持打開(kāi)狀態(tài)的時(shí)間長(zhǎng)度（超出時(shí)間將進(jìn)入超時(shí)狀態(tài)），攻擊者將可以找出禁用系統(tǒng)所需的確切參數(shù)，從而將創(chuàng)建拒絕服務(wù)所需的總流量降至最低。

如何防御 SYN 洪水攻擊？

SYN 洪水漏洞早已為世人所知，而且開(kāi)創(chuàng)了大量緩解方法。其中一些方法包括：

擴(kuò)展積壓工作隊(duì)列

目標(biāo)設(shè)備安裝的每個(gè)操作系統(tǒng)都允許具有一定數(shù)量的半開(kāi)連接。若要響應(yīng)大量 SYN 數(shù)據(jù)包，一種方法是增加操作系統(tǒng)允許的最大半開(kāi)連接數(shù)目。為成功擴(kuò)展最大積壓工作，系統(tǒng)必須額外預(yù)留內(nèi)存資源以處理各類新請(qǐng)求。如果系統(tǒng)沒(méi)有足夠的內(nèi)存，無(wú)法應(yīng)對(duì)增加的積壓工作隊(duì)列規(guī)模，將對(duì)系統(tǒng)性能產(chǎn)生負(fù)面影響，但仍然好過(guò)拒絕服務(wù)。

回收最先創(chuàng)建的 TCP 半開(kāi)連接

另一種緩解策略是在填充積壓工作后覆蓋最先創(chuàng)建的半開(kāi)連接。這項(xiàng)策略要求完全建立合法連接的時(shí)間低于惡意 SYN 數(shù)據(jù)包填充積壓工作的時(shí)間。當(dāng)攻擊量增加或積壓工作規(guī)模小于實(shí)際需求時(shí)，這項(xiàng)特定的防御措施將不奏效。

SYN Cookie

此策略要求服務(wù)器創(chuàng)建 Cookie。為避免在填充積壓工作時(shí)斷開(kāi)連接，服務(wù)器使用 SYN-ACK 數(shù)據(jù)包響應(yīng)每一項(xiàng)連接請(qǐng)求，而后從積壓工作中刪除 SYN 請(qǐng)求，同時(shí)從內(nèi)存中刪除請(qǐng)求，保證端口保持打開(kāi)狀態(tài)并做好重新建立連接的準(zhǔn)備。如果連接是合法請(qǐng)求并且已將最后一個(gè) ACK 數(shù)據(jù)包從客戶端機(jī)器發(fā)回服務(wù)器，服務(wù)器將重建（存在一些限制）SYN 積壓工作隊(duì)列條目。雖然這項(xiàng)緩解措施勢(shì)必會(huì)丟失一些 TCP 連接信息，但好過(guò)因此導(dǎo)致對(duì)合法用戶發(fā)起拒絕服務(wù)攻擊。