TCP连接洪泛攻击 (SYN Flood)

1. 基础概念： 理解TCP连接建立过程 (三次握手)

   • 目标： 让你明白一次正常的TCP连接是如何开始的。
   • 核心机制： TCP协议通过“三次握手”建立可靠连接。
     1. 第一步 (SYN)： 客户端向服务器发送一个SYN数据包（同步包），表示请求建立连接。
     2. 第二步 (SYN-ACK)： 服务器收到SYN后，如果同意连接，会从自己的资源中分配一块内存（称为“传输控制块”TCB）来记录这个未完成的连接，并回复一个SYN-ACK数据包（同步-确认包）。
     3. 第三步 (ACK)： 客户端收到SYN-ACK后，再向服务器发送一个ACK数据包（确认包）。服务器收到ACK后，连接正式建立，进入通信状态。
   • 关键状态： 服务器在发出SYN-ACK后、收到最终ACK前，连接处于“半开”状态。这个状态需要占用服务器的内存和计算资源。

2. 攻击原理： 利用协议设计缺陷

   • 目标： 让你理解攻击者是如何利用三次握手的过程发动攻击的。
   • 攻击手法： 攻击者向目标服务器发送大量的SYN连接请求数据包。
   • 欺骗手段： 这些SYN包的源IP地址通常是伪造的、不存在或不活跃的IP地址（即IP欺骗）。
   • 攻击效果：
     1. 服务器收到每个SYN包，都会按照协议规定，分配资源，创建半开连接，并回复SYN-ACK。
     2. 由于源IP是伪造的，SYN-ACK包永远无法到达真实的客户端，或者到达的客户端根本未曾发送请求，因此不会回复最终的ACK包。
     3. 服务器会等待这个ACK一段时间（超时时间，通常为数十秒到数分钟）。
     4. 攻击者以远快于服务器超时的速度持续发送海量SYN包。
   • 最终结果： 服务器的连接队列（用于存放半开连接）被这些“永远不会完成”的半开连接迅速占满。当队列满后，服务器将无法再响应任何新的、合法的连接请求，导致服务拒绝，这便是“洪泛”的含义。

3. 核心技术与演变

   • 目标： 让你了解攻击的一些变种和增强技术。
   • 直接攻击： 早期最简单的形式，就是用一台高性能机器持续发送伪造SYN包。
   • 分布式攻击 (DDoS)： 现代更常见的形式。攻击者控制一个“僵尸网络”（由大量被植入恶意软件的普通用户设备组成），从成千上万个分散的源IP同时发动SYN Flood攻击。这使得攻击流量更大，更难以用简单的IP黑名单进行过滤。
   • 放大与反射： 虽然SYN Flood本身不属于典型的放大攻击，但攻击者有时会结合其他协议（如DNS、NTP），将伪造的源IP设为受害者IP，诱使大量第三方服务器向受害者回复SYN-ACK等响应包，间接对受害者造成流量冲击。

4. 防御与缓解策略

   • 目标： 让你了解如何应对此类攻击。
   • 服务器端加固：
     • 增加积压队列： 临时增大服务器半开连接队列的大小，但这只是权宜之计，无法抵挡大规模攻击。
     • 减少超时时间： 缩短服务器等待ACK的超时时长，让资源更快释放。
   • 系统级防护 (常用且有效)：
     • SYN Cookie： 这是最关键的防御技术。当服务器检测到可能受到攻击时，不再为收到的SYN包分配内存资源。而是根据连接信息（源/目标IP、端口、序列号等）通过加密哈希算法生成一个“Cookie”（初始序列号），放入SYN-ACK包中发出。只有当服务器收到携带正确Cookie（即正确ACK序列号）的ACK包时，才会分配资源建立连接。这从根本上将资源消耗从服务器转移到了客户端（攻击者需要正确响应才能耗尽资源）。
   • 网络与基础设施防护：
     • 入口/出口过滤： 在网络的边界路由器上实施规则，阻止源IP地址明显伪造（如来自内部网络的地址却从外部接口进入）的数据包，这可以抑制非分布式的伪造攻击。
     • 速率限制： 在路由器或防火墙上，对到达特定目标端口的SYN包速率进行限制。
     • 云清洗与高防服务： 将流量引向具备超强处理能力的第三方安全服务（如DDoS防护中心）。这些服务拥有庞大的带宽和攻击识别集群，能够过滤掉恶意的SYN洪流，仅将清洗后的合法流量转发给源站服务器。这是目前对抗大规模DDoS型SYN Flood的主要商业解决方案。