TCP“SYN”攻击:(TCP "SYN" Attack)
TCP“SYN”攻击也叫 SYN 淹没。它使用了大多数主机使用 TCP 三向握手机制中的漏洞。当主机 B 接收到 A 中的 SYN 请求时,它必须利用一个“监听队列”将该特别连接至少保持75秒。恶意的主机通过向其它主机发送多个 SYN 请求的方式来利用该监听队列,但从不响应其它主机发回的 SYN&ACK。这样一来,其它主机的监听队列很快被填满,然后就停止接受新的连接,直到队列中某个特别打开的连接完成或超时。这种使某台主机脱离网络至少达75秒的功能可用于服务拒绝攻击,或者它可以用于实施其它攻击的工具,如 IP 欺骗。
TCP SYN 攻击是一种能够导致基于网络服务拒绝(DOS)或分布式服务拒绝(DDOS)的主要攻击方式。
TCP "SYN" 攻击防范
在网络的关键之处使用防火墙对来源不明的有害数据进行过滤可以有效减轻 TCP SYN 攻击(如果没有完全解决的话)。
既然用户可以明确地使用访问列表来将入站访问限制到所选定的为数不多的 IP 地址,所以对于内部网络设备,在使用了防火墙之后就可以很容易地防范 SYN 攻击。然而对于面向 Internet 的公共网页服务器或邮件服务器,却无法确定哪些进入的 IP 源地址是友好的,而哪些又是不友好的。因此没有针对来自于随机 IP 地址攻击的防御方法。主机可选择如下的办法:
提升连接队列(SYN ACK 队列)的大小。
减少三向握手的超时等待时间
采用开发商的检测或针对安全问题的软件补丁(如果提供的话)。
用户应该取得与主机供应商的联系以确定他们是否已经开发了处理 TCP SYN ACK 攻击的特别补丁。
