DDoS/Dos 之 SYN 攻擊

DDoS/Dos 攻擊通常可以用不同模式來達成,這裡介紹其中常見的 SYN 攻擊

SYN 攻擊

主機資源在 Client 端訪問時,通常會透過三次交握來溝通。主機第一次收到 Client 的 SYN 請求,會先處於 SYN_RCVD 的半連結狀態,並且發送封包給 Client 端進行第二次交握,Client 收到確認後,第三次才會正式攜帶參數及資料與主機溝通。而如果攻擊方透過 Client 端發送大量的偽造 IP 發送 SYN 封包給主機,每一個封包都會建立一個等待 Client 回覆確認,由於是偽造IP,因此 Server 端會持續的重複嘗試與 Client 溝通,直到主機設定的超時時間抵達才終止程序。當主機存在大量的半連結狀態連結時,並且這些連結都是隨機IP形式存在,超過主機可負荷的量就會讓主機掛掉。

檢視目前處遇 SYN_RCVD 狀態的連結方式:

netstat -n -p TCP | grep SYN_RECV

防止 SYN 攻擊有以下做法:

  • 適當的給予超時時間(SYN Timeout)
  • 容許大量的半連結狀態連結
  • 使用 SYN COOKIES 技術
  • 防火牆