What is a TCP SYN Flood DDoS Attack?

什么是TCP SYN洪水攻击？

• 传输控制协议 （TCP） 在发送方和接收方之间使用三向握手在它们之间建立可靠的 TCP 连接。
  • 首先，想要与接收方建立连接的发送方使用同步序列号 （SYN） 向接收方发送数据段，以通知接收方发送方要发起通信并包括它将开始的序列号。
  • 接收方使用设置的 SYN-ACK 信号位响应发送方的请求。SYN-ACK 中的 ACK 表示对接收方收到的段的确认响应。
  • 在TCP三次握手的最后一部分，发送方确认（ACK）接收方的响应，并且它们都建立了可靠的连接，他们将在其上开始实际的数据传输。
• 攻击者可以使用称为 TCP SYN 洪水的技术发起 DDoS 攻击，以耗尽接收方的资源。
• TCP SYN 泛洪的目标是耗尽网络和应用程序基础架构（如防火墙、IPS、负载平衡器和应用程序服务器）中的接收方资源，这些资源跟踪客户端或发送方连接的各种状态。

TCP 洪水攻击如何工作？

• TCP SYN 洪水攻击可能会在三向 TCP 协议握手中的 ACK 响应中使用欺骗 IP 地址 - SYN、SYN-ACK、ACK。攻击也可能来自故意不发送最终 ACK 的恶意发件人。这种类型的攻击也可以通过僵尸网络完成。
• 通过欺骗 ACK 响应，接收方永远不会收到完成的 TCP 握手（三方通信的最后一部分），并且可能会保留分配的资源。

如何缓解 SYN 洪水攻击？

• 由于目标是消耗需要维护每个客户端连接的信息和状态的有状态设备的资源，因此您需要一种方法来最小化分配的资源，以接近完成三次握手。
• 用于缓解 TCP SYN 泛洪攻击的一些技术包括：
  • 接收器可提供的速率限制连接请求
  • 实现连接请求的积压工作
  • 使用 SYN Cookie 唯一标识连接请求
  • 回收最早的半打开客户端连接
  • 实现保持半打开 TCP 连接请求多长时间的超时
• 有许多解决方案可以使用TCP SYN泛洪来防止DDoS攻击 许多IDS，IPS，防火墙，DDoS保护，负载平衡器和应用程序服务器现在都包括上述措施来检测和防止这些攻击。
• 这些保护措施可以部署为数据中心中的设备、基于云的清理服务或结合硬件设备和云服务的混合解决方案。
• 较新的方法通过使用机器学习和基于行为的算法来了解什么是合法的行为配置文件，然后自动阻止恶意攻击，从而在不影响合法流量的情况下阻止攻击。这提高了保护准确性，同时最大限度地减少了误报。