详细解析 SYN泛洪

SYN 泛洪及相关知识解析

当面试官问这个问题的时候，不要被 “SYN 泛洪” 这个名词给震慑到，其实面试官就是想知道计算机网络中关于 DDoS 攻击和 TCP 建立连接三次握手的相关知识的考核。不要担心，接下来将详细介绍一下 SYN 泛洪及其相关知识。

什么是 SYN 泛洪？

TCP 是面向连接的传输层协议，建立连接前必须完成三次握手，确保双方收发能力正常：

第一次握手（SYN）：客户端向服务器发送SYN（同步序列编号）报文，请求建立连接。报文中包含客户端的初始序列号（ISN-C）。
第二次握手（SYN+ACK）：服务器收到SYN报文后，会执行两个操作：
- 分配资源：创建 ** 半连接（Half-Open Connection）** 条目，存入半连接队列（SYN Backlog），占用内存、端口等系统资源。
- 回复报文：向客户端发送SYN+ACK报文，包含服务器的初始序列号（ISN-S）和对客户端 ISN-C 的确认（ISN-C+1）。
第三次握手（ACK）：客户端收到SYN+ACK报文后，向服务器发送ACK报文，确认服务器的 ISN-S（ISN-S+1）。
连接建立：服务器收到ACK报文后，将半连接从半连接队列转移到全连接队列（Accept Queue），资源正式投入使用，连接建立完成。

关键特性：服务器在第二次握手后，会持续占用资源直到收到第三次握手的 ACK，或等待超时（默认数十秒）。

攻击者利用上述 “服务器第二次握手后会占用资源等待 ACK” 的特性，通过以下步骤发起攻击：

伪造源 IP：攻击者使用工具生成大量伪造的源 IP 地址（可随机生成，或使用不存在的 IP、私网 IP），避免被溯源，同时确保目标服务器的SYN+ACK报文无法被真实主机接收。
发送海量 SYN 报文：攻击者向目标服务器的特定端口（如 80、443、8080）发送大量伪造源 IP 的SYN报文。
服务器资源耗尽：
- 服务器每收到一个SYN报文，就会创建一个半连接条目，存入半连接队列，占用资源。
- 由于源 IP 是伪造的，没有任何主机会向服务器回复ACK报文。
- 服务器会为每个半连接等待超时（通常 30~60 秒），期间半连接队列被占满，系统内存、可用端口等资源被耗尽。
拒绝服务：当半连接队列满后，服务器会丢弃后续所有合法的SYN请求，导致合法用户无法建立 TCP 连接，实现拒绝服务的目标。

解决方案

增强网络基础措施

提升网络带宽、增加服务器的处理能力和承载能力，通过增强基础设施的能力来抵御攻击

SYN Cookie

使用 SYN Cookie 的目的就是绕过半连接队列的情况下建立连接。服务端收到 SYN 报文后，不分配半连接资源，而是通过源 IP、目的 IP、端口、时间戳等信息，经加密算法生成一个 “SYN Cookie” 放到第二次握手 SYN+ACK 的序列号中。客户端收到带 Cookie 的 SYN + ACK 并回复 ACK 时，服务端验证序列号的合法性，若合法则直接建立连接。