SYN 洪水（半開連接攻擊）是一種拒絕服務(wù) (DDoS) 攻擊，旨在耗盡可用服務(wù)器資源，致使服務(wù)器無法傳輸合法流量。通過重復(fù)發(fā)送初始連接請求 (SYN) 數(shù)據(jù)包，攻擊者將可擊垮目標(biāo)服務(wù)器計算機(jī)上的所有可用端口，導(dǎo)致目標(biāo)設(shè)備在響應(yīng)合法流量時表現(xiàn)遲鈍乃至全無響應(yīng)。

SYN 洪水攻擊如何工作？

SYN 洪水攻擊利用?TCP?連接的握手過程發(fā)動攻擊。正常情況下，TCP 連接將完成三次握手以建立連接。

1. 首先，客戶端向服務(wù)器發(fā)送 SYN 數(shù)據(jù)包以發(fā)起連接。
2. 接著，服務(wù)器通過 SYN/ACK 數(shù)據(jù)包對該初始數(shù)據(jù)包做出響應(yīng)，以便確認(rèn)通信。
3. 最后，客戶端返回 ACK 數(shù)據(jù)包以確認(rèn)接到服務(wù)器發(fā)出的數(shù)據(jù)包。完成這一系列數(shù)據(jù)包發(fā)送和接收操作后，TCP 連接將處于打開狀態(tài)并且能夠發(fā)送和接收數(shù)據(jù)。

為發(fā)起拒絕服務(wù)攻擊，攻擊者需利用這樣一項事實：收到初始 SYN 數(shù)據(jù)包后，服務(wù)器將通過一個或多個 SYN/ACK 數(shù)據(jù)包做出回響，等待完成握手過程的最后一步。工作方式如下：

1. 攻擊者通常使用偽造的?IP 地址向目標(biāo)服務(wù)器發(fā)送大量 SYN 數(shù)據(jù)包。
2. 然后，服務(wù)器分別對每一項連接請求做出響應(yīng)，并確保打開的端口做好接收響應(yīng)的準(zhǔn)備。
3. 在服務(wù)器等待最后一個 ACK 數(shù)據(jù)包（永遠(yuǎn)不會到達(dá)）的過程中，攻擊者將繼續(xù)發(fā)送更多 SYN 數(shù)據(jù)包。每當(dāng)有新的 SYN 數(shù)據(jù)包到達(dá)，服務(wù)器都會臨時打開一個新的端口并在一段特定時間內(nèi)保持連接；用遍所有可用端口后，服務(wù)器將無法正常運(yùn)行。

在網(wǎng)絡(luò)中，如果服務(wù)器連接處于打開狀態(tài)但另一端的機(jī)器連接未打開，則視為半開連接。在此類 DDoS 攻擊中，目標(biāo)服務(wù)器將使連接一直處于打開狀態(tài)，靜待各個連接超時，避免再次開放端口。因此，此類攻擊可視為“半開連接攻擊”。

惡意用戶可通過三種不同方式發(fā)起 SYN 洪水攻擊：

1. 直接攻擊：不偽造?IP 地址的 SYN 洪水攻擊稱為直接攻擊。在此類攻擊中，攻擊者完全不屏蔽其 IP 地址。由于攻擊者使用具有真實 IP 地址的單一源設(shè)備發(fā)起攻擊，因此很容易發(fā)現(xiàn)并清理攻擊者。為使目標(biāo)機(jī)器呈現(xiàn)半開狀態(tài)，黑客將阻止個人機(jī)器對服務(wù)器的 SYN-ACK 數(shù)據(jù)包做出響應(yīng)。為此，通常采用以下兩種方式實現(xiàn)：部署防火墻規(guī)則，阻止除 SYN 數(shù)據(jù)包以外的各類傳出數(shù)據(jù)包；或者，對傳入的所有 SYN-ACK 數(shù)據(jù)包進(jìn)行過濾，防止其到達(dá)惡意用戶機(jī)器。實際上，這種方法很少使用（即便使用過也不多見），因為此類攻擊相當(dāng)容易緩解 – 只需阻止每個惡意系統(tǒng)的 IP 地址。哪怕攻擊者使用僵尸網(wǎng)絡(luò)（如?Mirai 僵尸網(wǎng)絡(luò)），通常也不會刻意屏蔽受感染設(shè)備的 IP。
2. 欺騙攻擊：惡意用戶還可以偽造其發(fā)送的各個 SYN 數(shù)據(jù)包的 IP 地址，以便阻止緩解措施并加大身份暴露難度。雖然數(shù)據(jù)包可能經(jīng)過偽裝，但還是可以通過這些數(shù)據(jù)包追根溯源。此類檢測工作很難開展，但并非不可實現(xiàn)；特別是，如果 Internet 服務(wù)提供商 (ISP) 愿意提供幫助，則更容易實現(xiàn)。
3. 分布式攻擊（DDoS）：如果使用僵尸網(wǎng)絡(luò)發(fā)起攻擊，則追溯攻擊源頭的可能性很低。隨著混淆級別的攀升，攻擊者可能還會命令每臺分布式設(shè)備偽造其發(fā)送數(shù)據(jù)包的 IP 地址。哪怕攻擊者使用僵尸網(wǎng)絡(luò)（如 Mirai 僵尸網(wǎng)絡(luò)），通常也不會刻意屏蔽受感染設(shè)備的 IP。

惡意用戶可以通過 SYN 洪水攻擊嘗試在目標(biāo)設(shè)備或服務(wù)中創(chuàng)建拒絕服務(wù)，其流量遠(yuǎn)低于其他 DDoS 攻擊。SYN 攻擊不屬于容量耗盡攻擊，其目的并非使目標(biāo)周圍的網(wǎng)絡(luò)基礎(chǔ)設(shè)施達(dá)到飽和，只需保證大于目標(biāo)操作系統(tǒng)的可用積壓工作即可。如果攻擊者能夠確定積壓工作規(guī)模以及每個連接保持打開狀態(tài)的時間長度（超出時間將進(jìn)入超時狀態(tài)），攻擊者將可以找出禁用系統(tǒng)所需的確切參數(shù)，從而將創(chuàng)建拒絕服務(wù)所需的總流量降至最低。

如何防御 SYN 洪水攻擊？

SYN 洪水漏洞早已為世人所知，而且開創(chuàng)了大量緩解方法。其中一些方法包括：

擴(kuò)展積壓工作隊列

目標(biāo)設(shè)備安裝的每個操作系統(tǒng)都允許具有一定數(shù)量的半開連接。若要響應(yīng)大量 SYN 數(shù)據(jù)包，一種方法是增加操作系統(tǒng)允許的最大半開連接數(shù)目。為成功擴(kuò)展最大積壓工作，系統(tǒng)必須額外預(yù)留內(nèi)存資源以處理各類新請求。如果系統(tǒng)沒有足夠的內(nèi)存，無法應(yīng)對增加的積壓工作隊列規(guī)模，將對系統(tǒng)性能產(chǎn)生負(fù)面影響，但仍然好過拒絕服務(wù)。

回收最先創(chuàng)建的 TCP 半開連接

另一種緩解策略是在填充積壓工作后覆蓋最先創(chuàng)建的半開連接。這項策略要求完全建立合法連接的時間低于惡意 SYN 數(shù)據(jù)包填充積壓工作的時間。當(dāng)攻擊量增加或積壓工作規(guī)模小于實際需求時，這項特定的防御措施將不奏效。

SYN Cookie

此策略要求服務(wù)器創(chuàng)建 Cookie。為避免在填充積壓工作時斷開連接，服務(wù)器使用 SYN-ACK 數(shù)據(jù)包響應(yīng)每一項連接請求，而后從積壓工作中刪除 SYN 請求，同時從內(nèi)存中刪除請求，保證端口保持打開狀態(tài)并做好重新建立連接的準(zhǔn)備。如果連接是合法請求并且已將最后一個 ACK 數(shù)據(jù)包從客戶端機(jī)器發(fā)回服務(wù)器，服務(wù)器將重建（存在一些限制）SYN 積壓工作隊列條目。雖然這項緩解措施勢必會丟失一些 TCP 連接信息，但好過因此導(dǎo)致對合法用戶發(fā)起拒絕服務(wù)攻擊。