什么是SYN（同步）攻击？攻击的工作原理以及如何防止SYN攻击

随着网络犯罪分子利用互联网使用增加的优势，DDoS（分布式拒绝服务）攻击的效力急剧增加。这是一种攻击，其中受害者的服务或网站被攻击者通过恶意流量淹没它而被破坏。在很大程度上，DDoS 数量增加的关键原因与攻击方法的采用增加有关：SYN（同步数据包洪水）攻击。

以卡巴斯基2019 年和 2020 年的 DDoS 攻击统计为例，在DDoS 攻击类型中，SYN Flood 攻击在 2019 年 Q1 占据了相当大的份额。虽然2020 年 DDoS 攻击类型发生了一些明显的变化, SYN Flood 是榜单上唯一的不动产，但其份额持续增长并触及 92.6% 的最高纪录。

事实证明，超过 80% 的 DDoS 攻击使用 SYN 泛洪方法，这种方法可以造成与 DDoS 攻击相关的所有损害：消费者信任的丧失、收入的损失、财务数据、IP 或客户信息的盗窃，以及软件和硬件损坏。让我们探讨一下什么是 SYN（同步）攻击以及如何防止这种攻击。

什么是 SYN 攻击？

SYN Flood攻击又称半开攻击，是一种协议攻击，它利用网络通信中的漏洞，使受害者的服务器对合法请求不可用。通过消耗所有服务器资源，这种类型的攻击甚至可以破坏能够处理数百万个连接的高容量组件。

SYN 洪水攻击是如何工作的？

由于SYN Flood DDoS 攻击利用 TCP 三向握手连接及其在处理半开连接方面的局限性，让我们从正常的 TCP 握手机制如何工作开始，然后继续讨论 SYN 攻击如何干扰连接。

• 当客户端系统想要启动 TCP 连接时，它会将 SYN（同步）消息作为请求发送到服务器。
• 服务器通过向客户端发送 SYN-ACK 来响应此请求。
• 然后，客户端用 ACK 向服务器应答 SYN-ACK。在完成这一系列数据包的发送和接收后，TCP 连接就可以进行通信了。

在 SYN 泛洪攻击中，黑客伪装成客户端，以高于受害机器可以处理的速率发送 TCP SYN 连接请求。它是一种资源耗尽型 DoS 攻击。黑客可以通过三种不同的方式进行 SYN 洪水攻击：

1. 直接SYN洪水攻击

在这种方法中，黑客使用自己的 IP 地址发起攻击。他向服务器发送多个 SYN 请求。但是，当服务器以 SYN-ACK 响应时，作为确认，他不会以 ACK 响应，而是继续向受害服务器发送新的 SYN 请求。

在服务器等待 ACK 的同时，SYN 报文的到来使服务器资源保留了一定时间，连接会话处于半开状态，最终导致服务器无法正常运行，拒绝合法客户端的请求。

在这种直接攻击方法中，为了确保忽略 SYN/ACK 数据包，黑客会相应地配置防火墙或将流量限制为传出的 SYN 请求。由于黑客使用自己的 IP 地址，因此攻击者更容易被检测到。这种攻击很少使用。

2. SYN 欺骗攻击

作为避免被检测到的替代方法，恶意攻击从欺骗/伪造的 IP 地址发送 SYN 数据包。服务器收到 SYN 请求后，向伪造的 IP 地址发送 SYN-ACK 并等待响应。由于欺骗源没有发送数据包，因此它们没有响应。

对于这种 SYN Flood 攻击，攻击者会选择未使用的 IP 地址，从而确保系统永远不会响应 SYN-ACK 响应。

3. DDoS（分布式拒绝服务）SYN攻击

在这种 SYN 泛洪攻击的变种中，受害服务器在攻击者的控制下同时从多台受感染的计算机接收 SYN 数据包。这种被劫持机器的组合称为僵尸网络。

如何防范 SYN 洪水攻击？

SYN Flood 的脆弱性早已为人所知，因此已经利用了几种 SYN Flood 攻击缓解措施。一些SYN攻击防护如下：

1. 增加积压队列

每个操作系统分配一定的内存来保存半开连接作为 SYN 积压。如果达到限制，它将开始断开连接。为了防止 SYN 攻击，我们可以增加 backlog 的限制，以避免拒绝合法连接。

2. 回收最旧的半开连接

SYN 攻击保护的另一种方法是通过删除最旧的半开连接来重用 SYN 积压的内存。这为新连接创造了空间，并确保在洪水攻击期间系统在一定限度内保持可访问性。这种缓解方法对大容量 SYN Flood DDoS 攻击无效。

3. SYN Cookie

下一个 SYN 洪水攻击缓解策略涉及 cookie 的概念。在这种情况下，为了避免拒绝连接，服务器对每个请求都使用 ACK 数据包进行响应，然后从 backlog 中删除 SYN 请求数据包。通过删除请求，服务器使端口保持打开状态以进行新连接。

如果请求来自合法客户端，服务器将从客户端机器获取 ACK 数据包，然后重新构建 SYN 积压条目。这种方法确实会丢失一些关于连接的细节；但是，这比成为 DDoS 攻击的受害者要好。

4.防火墙过滤

启用防火墙检测和过滤 SYN 数据包。可以配置防火墙来防止或限制各种 DDoS 攻击的影响，包括数据包扫描、泛洪和未经授权的端口扫描。

超越 IPS 设备和传统防火墙来缓解 SYN Flood DDoS 攻击！

虽然基于网络的防火墙和 IPS 设备对网络安全至关重要，但它们不足以确保针对复杂攻击提供完整的DDoS 保护。今天更复杂的攻击需要多方面的方法。可以从最佳 DDoS 保护和更快的 SYN 洪水攻击缓解中获得的一些设施包括：

• 支持内联和带外流量可见性，以分析来自网络各个部分的流量
• 不同来源的威胁情报，包括可定制的阈值警报、统计异常检测以及已知和新出现威胁的数据库，以确保准确检测
• 低端和高端攻击的可扩展性

如何阻止 SYN 攻击？

防范诸如此类的网络级 DDoS 攻击应该是您的托管服务提供商计划的一部分，并且大多数公共云提供商都将其包含在他们的产品中。作为企业主，您必须更多地关注责任共担模型以及如何防范特定于托管在托管服务提供商提供的计算实例上的有效负载和应用程序的风险。