随着网络犯罪分子利用互联网使用增加的优势，DDoS（分布式拒绝服务）攻击的效力急剧增加。这是一种攻击，其中受害者的服务或网站被攻击者通过恶意流量淹没它而被破坏。在很大程度上，DDoS数量增加的关键原因与攻击方法的采用增加有关：SYN（同步数据包洪水）攻击。

以卡巴斯基2019年和2020年的DDoS攻击统计为例，在DDoS攻击类型中，SYNFlood攻击在2019年Q1占据了相当大的份额。虽然2020年DDoS攻击类型发生了一些明显的变化,SYNFlood是榜单上唯一的不动产，但其份额持续增长并触及92.6%的最高纪录。

事实证明，超过80%的DDoS攻击使用SYN泛洪方法，这种方法可以造成与DDoS攻击相关的所有损害：消费者信任的丧失、收入的损失、财务数据、IP或客户信息的盗窃，以及软件和硬件损坏。让我们探讨一下什么是SYN（同步）攻击以及如何防止这种攻击。

什么是SYN攻击？

SYNFlood攻击又称半开攻击，是一种协议攻击，它利用网络通信中的漏洞，使受害者的服务器对合法请求不可用。通过消耗所有服务器资源，这种类型的攻击甚至可以破坏能够处理数百万个连接的高容量组件。

SYN洪水攻击是如何工作的？

由于SYNFloodDDoS攻击利用TCP三向握手连接及其在处理半开连接方面的局限性，让我们从正常的TCP握手机制如何工作开始，然后继续讨论SYN攻击如何干扰连接。

在SYN泛洪攻击中，黑客伪装成客户端，以高于受害机器可以处理的速率发送TCPSYN连接请求。它是一种资源耗尽型DoS攻击。黑客可以通过三种不同的方式进行SYN洪水攻击：

1.直接SYN洪水攻击

在这种方法中，黑客使用自己的IP地址发起攻击。他向服务器发送多个SYN请求。当服务器以SYN-ACK响应时，作为确认，他不会以ACK响应，而是继续向受害服务器发送新的SYN请求。

在服务器等待ACK的同时，SYN报文的到来使服务器资源保留了一定时间，连接会话处于半开状态，最终导致服务器无法正常运行，拒绝合法客户端的请求。

在这种直接攻击方法中，为了确保忽略SYN/ACK数据包，黑客会相应地配置防火墙或将流量限制为传出的SYN请求。由于黑客使用自己的IP地址，因此攻击者更容易被检测到。这种攻击很少使用。

2.SYN欺骗攻击

作为避免被检测到的替代方法，恶意攻击从欺骗/伪造的IP地址发送SYN数据包。服务器收到SYN请求后，向伪造的IP地址发送SYN-ACK并等待响应。由于欺骗源没有发送数据包，因此它们没有响应。

对于这种SYNFlood攻击，攻击者会选择未使用的IP地址，从而确保系统永远不会响应SYN-ACK响应。

在这种SYN泛洪攻击的变种中，受害服务器在攻击者的控制下同时从多台受感染的计算机接收SYN数据包。这种被劫持机器的组合称为僵尸网络。

如何防范SYN洪水攻击？

SYNFlood的脆弱性早已为人所知，因此已经利用了几种SYNFlood攻击缓解措施。一些SYN攻击防护如下：

1.增加积压队列

每个操作系统分配一定的内存来保存半开连接作为SYN积压。如果达到限制，它将开始断开连接。为了防止SYN攻击，我们可以增加backlog的限制，以避免拒绝合法连接。

2.回收最旧的半开连接

SYN攻击保护的另一种方法是通过删除最旧的半开连接来重用SYN积压的内存。这为新连接创造了空间，并确保在洪水攻击期间系统在一定限度内保持可访问性。这种缓解方法对大容量SYNFloodDDoS攻击无效。

3.SYNCookie

下一个SYN洪水攻击缓解策略涉及cookie的概念。在这种情况下，为了避免拒绝连接，服务器对每个请求都使用ACK数据包进行响应，然后从backlog中删除SYN请求数据包。通过删除请求，服务器使端口保持打开状态以进行新连接。

如果请求来自合法客户端，服务器将从客户端机器获取ACK数据包，然后重新构建SYN积压条目。这种方法确实会丢失一些关于连接的细节；这比成为DDoS攻击的受害者要好。

4.防火墙过滤

启用防火墙检测和过滤SYN数据包。可以配置防火墙来防止或限制各种DDoS攻击的影响，包括数据包扫描、泛洪和未经授权的端口扫描。

超越IPS设备和传统防火墙来缓解SYNFloodDDoS攻击！

虽然基于网络的防火墙和IPS设备对网络安全至关重要，但它们不足以确保针对复杂攻击提供完整的DDoS保护。今天更复杂的攻击需要多方面的方法。可以从最佳DDoS保护和更快的SYN洪水攻击缓解中获得的一些设施包括：

如何阻止SYN攻击？

防范诸如此类的网络级DDoS攻击应该是您的托管服务提供商计划的一部分，并且大多数公共云提供商都将其包含在他们的产品中。作为企业主，您必须更多地关注责任共担模型以及如何防范特定于托管在托管服务提供商提供的计算实例上的有效负载和应用程序的风险。