SYN-flood攻擊

原理：當TCP三次握手進行第一次握手時，客戶端向服務端發送SYN請求報文，第二次握手服務端會返回一個SYN+ACK的一個確認報文，syn-flood攻擊就發生在第三次握手，當客戶端不去迴應服務端的SYN+ACK報文時，此時TCP是處於半開放狀態的，若是此時客戶端一直給服務端發送SYN請求報文，卻不去迴應服務端發來的SYN+ACK報文，這將會佔用服務端全部系統資源，使其不能接收其餘任何請求。以下圖：

 

檢測攻擊：查看TCP鏈接狀態是否有異常鏈接狀態，

防護：

1）使用SYNCookie防火牆

syn cookie：當客戶端給服務端發送SYN報文時，服務端會返回一個SYN+ACK ,可是這個ACK是由源地址，端口源次序，目標地址，目標端口以及一個加密種子計算而得出的一個ACK，服務端發送完SYN+ACK確認報文時，就會釋放全部狀態，這樣就不用佔用系統資源了，當客戶端發送ACK報文給服務端時，服務端會從新計算這個ACK，判斷它是否是上個SYN+ACK的返回包。

syn cookie防火牆：syncookie防火牆充當了一箇中間人的角色，當客戶端發送syn請求時，syncookie防火牆就是服務端，給客戶端發送syn+ack確認報文，若是防火牆收到了syn+ack的返回包，它就會再次充當客戶端的角色，給服務端發送syn請求報文，創建三次握手。若是兩邊都成功了，防火牆就會轉發兩邊的數據，讓客戶端和服務端創建三次握手。

2）加固TCP/IP協議棧防範