SYN***原理

SYN***原理

　　SYN***屬於DOS***的一種，它利用TCP協議缺陷，經過發送大量的半鏈接請求，耗費CPU和內存資源。SYN***除了能影響主機外，還能夠危害路由器、防火牆等網絡系統，事實上SYN***並無論目標是什麼系統，只要這些系統打開TCP服務就能夠實施。服務器接收到鏈接請求（syn=j），將此信息加入未鏈接隊列，併發送請求包給客戶（syn=k,ack=j+1），此時進入SYN_RECV狀態。當服務器未收到客戶端的確認包時，重發請求包，一直到超時，纔將此條目從未鏈接隊列刪除。配合IP欺騙，SYN***能達到很好的效果，一般，客戶端在短期內僞造大量不存在的IP地址，向服務器不斷地發送syn包，服務器回覆確認包，並等待客戶的確認，因爲源地址是不存在的，服務器須要不斷的重發直至超時，這些僞造的SYN包將長時間佔用未鏈接隊列，正常的SYN請求被丟棄，目標系統運行緩慢，嚴重者引發網絡堵塞甚至系統癱瘓。SYN***實現起來很是的簡單，互聯網上有大量現成的SYN***工具。

　　那麼如何防範SYN***呢？概括起來，主要有兩大類，一類是經過防火牆、路由器等過濾網關防禦，另外一類是經過加固TCP/IP協議棧防範.但必須清楚的是，SYN***不能徹底被阻止，咱們所作的是儘量的減輕SYN***的危害。