关于SYN洪泛攻击简介

在TCP三次握手中，server为了响应一个收到的SYN。分配并初始化连续变量和缓存。然后server发送一个SYNACK进行响应，并等待来自客户的ACK报文段。

假设某客户不发送ACK来完毕该三次握手的第三步。终于（通常在一分钟之后）server将终止该半连接并回收资源。

这样的TCP连接管理协议为经典的DoS（deny of service）攻击即SYN洪泛攻击（SYN flood attack）提供了环境。在这样的攻击中，攻击者发送大量的TCP SYN报文段，而不完毕第三次握手的步骤。

随着这样的SYN报文段纷至踏来，server不断为这些半开连接分配资源（但从未使用）。导致server的连接环境被消耗殆尽。

如今有一种有效的防御系统，成为SYN cookie 。它们被部署在大多数主流操作系统中。SYN cookie 一下列方式工作：

1、当server接收到一个SYN报文段时。它并不知道该报文段是来自一个合法的用户，还是一个SYN洪泛攻击的一部分。因此
server不会为该报文段生成一个半开连接。

相反，server生成一个初始TCP序列，该序列号是SYN报文段的源和目的IP地址与port
号以及仅有该server知道的秘密数的一个复杂函数（散列函数）。这样的精心制作的初始序列号成为“cookie”，server则发送具有这
种特殊初始序列号的SYNACK分组。重要的是，server并不记忆该cookie或不论什么相应于SYN的其它状态信息。

2、假设客户是合法的，则它将返回一个ACK报文段。

当server收到该ACK，须要验证该ACK是与前面发送的某些SYN想相应
的。

3、假设客户没有返回一个ACK报文段。则初始的SYN并没有对server产生危害，应为server没有为它分配不论什么资源。