SYN Flood(半开放攻击)是一种拒绝服务(DDoS)攻击,其目的是通过消耗所有可用的服务器资源使服务器不可用于合法流量。通过重复发送初始连接请求(SYN)数据包,攻击者能够压倒目标服务器机器上的所有可用端口,导致目标设备根本不响应合法流量。
攻击者向目标服务器发送大量SYN数据包,通常会使用欺骗性的IP地址。
然后,服务器响应每个连接请求,并留下开放端口准备好接收响应。
当服务器等待从未到达的最终ACK数据包时,攻击者继续发送更多的SYN数据包。每个新的SYN数据包的到达导致服务器暂时维持新的开放端口连接一段时间,一旦所有可用端口被使用,服务器就无法正常工作。
在网络中,当服务器断开连接但连接另一端的机器没有连接时,连接被认为是半开的。在这种类型的DDoS攻击中,目标服务器不断离开打开的连接,等待每个连接超时,然后端口再次可用。结果是这种攻击可以被认为是“半开攻击”。
SYN洪水可以三种不同的方式发生:
不伪装数据包的来源 IP 地址,直接发起攻击
这种最好处理,直接禁用来源IP的数据包即可
伪装发送的 SYN 包上的 IP 地址,来延缓被打击的时间
虽然数据包可能被欺骗,但这些数据包可能会被追溯到其来源。很难做这种工作,但并不是不可能的,特别是如果互联网服务提供商(ISP)愿意帮助的话。
分布式攻击(DDoS):如果使用僵尸网络创建攻击,则将攻击溯源到源的可能性很低。对于增加的混淆级别,攻击者可能会使每个分布式设备也欺骗发送数据包的IP地址。
通过使用SYN Flood攻击,恶意攻击者可以尝试在目标设备或服务中创建拒绝服务,其流量大大低于其他DDoS攻击。并且通过评估目标系统的参数,如最大可连接端口,超时之前连接的最大保持时间等,可以将总流量减少到最小必要量以创建攻击服务。