什么是SYN Flood？

SYN Flood是如何发生的？

SYN Flood顾名思义就是用洪水一样的SYN报文进行攻击。SYN报文指的是TCP协议中的Synchronize报文，是TCP三次握手过程中的首个报文。让我们先来了解一个正常的TCP三次握手过程。

TCP三次握手过程

1. 开始建立连接时，客户端发送SYN报文到服务器，等待服务器确认。SYN报文的源IP地址和端口是客户端的IP地址和端口。
2. 服务器收到SYN报文，回应一个SYN-ACK（Synchronize-Acknowledgement）报文。SYN-ACK报文的目的P地址和端口是客户端的IP地址和端口。
3. 客户端收到服务器的SYN-ACK报文，向服务器发送ACK报文，服务器收到ACK报文后完成三次握手，TCP连接建立成功。

在连接超时之前，服务器会一直等待ACK报文，此时该连接状态为半开放连接（也被称为半连接）。半连接会占用服务器的连接数，当连接数被占满时，服务器就无法提供正常的服务了。黑客正是通过这个机制来实现SYN Flood。

SYN Flood的攻击过程

黑客通常通过伪造的源IP地址或端口，向服务器发送大量的SYN报文，请求建立TCP连接。由于源IP地址或端口是伪造的，服务器发送的SYN-ACK报文永远不会被真实的客户端接收和回应。极少数情况下，黑客也会使用真实源IP地址，但他们只是通过攻击工具发送海量SYN报文，工具并不会响应来自服务器SYN-ACK报文。无论如何，服务器都接收不到ACK报文，产生了大量的半连接。此时服务器需要维持一张巨大的等待列表，不停地重试发送SYN-ACK报文，同时大量的资源无法释放。当服务器被这些恶意的半连接占满时，就不会再响应新的SYN报文，从而导致正常的用户无法建立TCP连接。

如何识别和防御SYN Flood？

SYN Flood的目的是占满服务器的连接数，消耗服务器的系统资源。对于服务器自身来说，最直接的做法就是提高服务能力，比如组建集群，升级硬件。但是这种方式成本巨大，且对于海量的攻击报文来说，并没有太大的作用，仅多撑几分钟甚至几秒而已。

所以，必须在这些攻击报文到达服务器之前就进行拦截。然而对于防火墙这类安全设备而言，SYN报文是正常的业务报文，防火墙的安全策略必须允许其通过，否则服务器就无法对外提供服务。如果能明确虚假源的IP地址，就能通过精细的安全策略阻止这些源发来的SYN报文。但是管理员无法预知哪些是虚假源。即使能分析出虚假源，也无法做到快速、自动地配置或取消安全策略来应对不可预期的攻击流量。

此时就需要Anti-DDoS系统的能力了，它部署在网络入口处，在服务器之前处理SYN报文，识别出虚假源，屏蔽来自这些地址的报文，只将合法的SYN报文传递给服务器。Anti-DDoS系统处理SYN报文主要有两种手段，源认证和首包丢弃。