SYN攻击是什么？SYN攻击原理与预防，技巧集锦!

SYN攻击是什么？

归结到DOS入侵一个SYN入侵，它使用TCP协议的缺点，恳求通过发送大量的半收敛，CPU和内存资源的消耗。 SYN的入侵除了能影响主机，还可以损坏路由器，防火墙和其他网络系统。
普通同步保护的做法是：
1，过滤网关防护

这里，过滤网关指定防火墙，路由器，当然也可以成为过滤网关。安排不合法之间的奇怪的网络防火墙，防备外来侵略和防止机密信息的泄漏，它是客户端和服务器之间使用它来保护的SYN侵入能够起到很好的作用。主过滤网关防护罩超时设置的SYN网关和SYN代理三种。

2，加固TCP / IP协议栈

准备的SYN入侵另一个主要技能是调整TCP / IP协议栈，正确的TCP协议完成。将SynAttackProtect维护机制，SYN Cookie的技能的主要途径，并称最衔接和缩短超时工作。 TCP / IP协议栈的调整可能会导致一些功能限制，应该是丰富的管理员打听，测试这项工作的前提。

然而，为了完成保护SYN入侵我主张
我个人认为，（ARP\ UDP\ TCP SYN底层协议的差距形成的入侵。
一些传统的360卫士ARP防火墙，杀毒软件，我已经试过没有。
为了全面内网处理，我主张，你可以尝试在网络中的免疫网络处理程序之前，我处理后的免疫网络入侵。 

攻击原理以及预防如下：据统计，在所有的事情，黑客入侵，SYN入侵是最常见和最简单的入侵方式使用。相信很多人都记得，2000年雅虎网站遭受入侵的情况下，黑客使用的时间是短暂的，但有用的SYN入侵的SYN入侵形成一个更大的损害，一些网络蠕虫的合作。本文介绍的SYN入侵事物的基本原则，测试方法，并具体讨论的SYN的入侵准备技能。

首先，TCP握手协议

TCP / IP协议，TCP协议供应的强收敛性的发球局中，选择三次握手建立一个收敛。

的第一次握手：建立衔接，客户端发送SYN包（SYN = J）服务设备，和成SYN_SEND情况，等待服务设备识别;

第二次握手：服务收到一个SYN包，我们必须认识到客户的SYN（ACK = J +1），也是我在时刻发送一个SYN包（SYN = K）的SYN + ACK包，服务设备进入SYN_RECV情况;

第三次握手：客户端接受服务的SYN + ACK包，识别数据包发送的ACK（ACK = K +1），这个包发送到客户端和服务所建立的情况下三次握手结束。

三次握手结束，客户端和服务的设备，开始在上述过程中传输的数据，也有一些重要的概念：

趋同的行列：“三路握手协议中，为维护1收敛的行列，在每个客户端的SYN包（SYN = j）创建一个条目，它的出服务的原则，已收到一个SYN包到行列客户宣布它承认，正​​在等待客户承认包。这些条目确定收敛的在SYN_RECV情况的服务设备，发球时收到客户确认包，删除该条目，并为建立情况。

积压参数：标记的数量最大的包容性的行列收敛。

发送SYN-ACK包服务，如果客户没有收到确认包，为初始的重传，等待更多的工作，不接受客户的SYN-ACK重传次数承认，第二次重传的包，如果再传真号码超出最大数量的转播系统，规则系统的信息从半收敛的行列中删除的收敛时间。每次重传，等待努力的重点必须是相同的。

一半生存的努力：是指半收敛进入生存的最长的工作结合，即服务从收到SYN包到确认此消息无效最长的工作行列，工作的价值是最长的所有等待转播恳求包工作的总和。我们有时也被称为半收敛的生存努力超时工作SYN_RECV存活的努力。

第二，的SYN侵入原则

的SYN入侵归结到DOS入侵利用了TCP协议的缺陷，发送大量的半收敛恳求后，CPU和内存资源的消耗，。的SYN入侵除了能影响主机，也可能会损坏路由器，防火墙和其他网络系统，事实上SYN入侵的政策，无论是什么系统，系统开放的TCP服务，可以实现。从图中可以看到，接收设备服务恳求收敛（SYN = J），此信息不衔接的行列，参加和恳求包发送到客户端（SYN = K，ACK = J +1），在目前进入SYN_RECV情况，。服务没有收到客户端包的识别，恳求包重发直至超时，只有这个条目从未收敛删去的行列。 IP欺骗的SYN入侵可以到达好，一般情况下，客户短期工作，在一个假的IP地址不存在，发送一个SYN包到设备的服务，继续为回复确认包，并等待客户承认，源地址不存在，需求继续担任设备重新发行，直至超时，这些伪造的SYN包长期努力占据不收敛至正常的SYN乞求丢失的行列，政策体系运行缓慢，严重的情况下，给予上升到网络拥塞，以及系统瘫痪。

第三次时，SYN入侵的东西

的SYN入侵结束了很简单的，在互联网上有许多准备的SYN入侵的事情。

Windows系统下的SYN事情：

到synkill.exe运行的东西，选择一个随机的源地址和进口来源，并填写机器地址和TCP年底进口的原则，激活操作，很快就会发现一个政策系统运行缓慢。对于入侵的作用并不明显，可本机的原理是不开放给填写的TCP端进口可能是防火墙拒绝的那一刻方进口的访问，可以选择答应访问的TCP端进口，普通Windows系统打开tcp139年底进口UNIX系统开放tcp7，21，23和进口的另一端。

检测到的SYN入侵

检测的SYN侵入非常方便，当你服务的半收敛的情况下，令人吃惊的是源IP地址是随机的，基本上可以判定这是一个SYN入侵。我们使用的系统，用netstat的事情来检测的SYN入侵：

收敛的的SYN_RECV情况（在WINDOWS系统中是SYN_RECEIVED情况），源IP地址是随机的，标有IP欺骗的SYN入侵。

我们还直接检查收敛排名在Linux环境下月底可以受到以下说明的进口数量的条目：

324显示TCP高档进口数量22没有收敛，当然，远远超过了系统限制少，但它应该上升到管理员重点。

五时，SYN入侵的准备技巧

我们讨论相比，早在SYN入侵的准备技能。概括地说，前两类，一个是保护，如防火墙，路由器，网关过滤，和其他的TCP / IP协议栈已加强准备，但它必须是明确和SYN的侵略不能完全阻塞，我们真的可以减轻的SYN入侵的破坏，除非从头TCP协议的描绘。

1，过滤网关防护

这里，过滤网关指定防火墙，路由器，当然也可以成为过滤网关。防火墙网络，在一个陌生的安排，准备外国非法入侵，并防止机密信息泄漏，它是客户端和服务之间，将它应用到保护SYN侵入能够起到很好的作用。主过滤网关防护罩超时设置的SYN网关和SYN代理三种。

·网关超时设置：

防火墙设置SYN转发超时参数（检测防火墙的情况可以在位置内设置），这个参数是远远超过服务工作超时。当客户端发送一个SYN包，服务发送承认包（SYN + ACK包），防火墙如果在计数器到期没有收到客户端的确认包（ACK），则发送RST包，以控制服务，这样的服务被删除从半收敛的行列。值得关注的是，网关超时参数设置不能太小，它是不是过大，过小会影响正常通信的超时参数设置，设置过大，会影响准备的SYN侵入的作用，必须根据网络的使用环境来设置此参数。

的SYN网关：

的SYN网关收到客户端的SYN数据包被转发的直接控制的服务;的SYN网关收到的SYN / ACK数据包，转发给客户端的数据包后控制的服务，并还以服务代表客户端的头发设备的ACK确认包。服务由半收敛的情况下，目前进入收敛状态。当客户端确认包到达时，如果数据被转发，否则丢弃。事实上，除了维持半收敛队伍服务，但也有一个收敛的行列，如果的SYN攻击入侵，将连接附加数的行列，但普通服务的数量可接受的融合是远远超过一半的衔接，因此，这种方法可以减少土地服务​​的入侵。

·SYN代理：

当客户端SYN包到达过滤网关时，SYN代理并不转发SYN包，而是为主动的名字在回复客户端的SYN / ACK包，如果收到客户的ACK包，表明这是一种正常访问。目前防火墙服务设备发送一个ACK包和三次握手结束。取代了SYN代理事实上，服务的设备处置的SYN入侵承认在网关过滤器本身具有很强的防备的SYN以入侵。

2，加固TCP / IP协议栈

准备的SYN侵入另一个主要技能是调整TCP / IP协议栈，TCP协议的最终解决。将SynAttackProtect维护机制，SYN Cookie的技能的主要途径，并称最衔接和缩短超时工作。 TCP / IP协议栈的调整给上升到一定的作用有限，管理员应该丰富要求各地和测试，这项工作的前提

将SynAttackProtect机制

要准备的SYN入侵Windows 2000系统，TCP / IP协议栈嵌入将SynAttackProtect机制，Win2003的系统也可以使用这种机制。将SynAttackProtect机制，关闭某些socket选项后添加的名义趋同的方向和减少超时工作，使系统可以处理更多的SYN衔接，达成意向的SYN入侵防范。默许，Windows 2000操作系统不维持将SynAttackProtect维护机制，将SynAttackProtect注册表中的需求，添加以下位置：

SynAttackProtect值（如惊讶地澄清，这篇文章中涉及到的注册表键值为十六进制）为0或不设置，该系统是将SynAttackProtect维护。

1:00后的转播数量的减少和延迟SynAttackProtect值系统没有收敛的路由缓冲（路由缓存项）准备的SYN入侵。

SynAttackProtect值2:00（微软转介使用此值），该系统不仅利用积压队伍，并使用额外的半收敛指标，以处理更多的SYN收敛，使用此键TCP / IP的TCPInitialRTT窗口大小和滑动窗口的进口将被停止。

我们应该知道，通常情况下，系统没有启用将SynAttackProtect机制，只能检测到的SYN入侵，只有启用和调整TCP / IP协议栈。那么系统是如何检测入侵攻击的SYN它呢？事实上，按照系统发生TcpMaxHalfOpen，TcpMaxHalfOpenRetried，并TcpMaxPortsExhausted三个参数区分是否遭受的SYN入侵。

TcpMaxHalfOpen明显也可以处理的最收敛的数量，如果超出此值，系统在SYN是入侵。 Windows2000服务器的默认值为100，Windows2000的高级服务器500。

TcpMaxHalfOpenRetried定义的半收敛的积压和转播过的行列中储存的电话号码，如果超出此值，系统主动推出将SynAttackProtect机制。 Windows2000服务器的默认值为80，Windows2000的高级服务器400。

TcpMaxPortsExhausted是指系统拒绝的SYN请求的数据包数量，默认是5。

如果你想调整以上参数值的默许，可以固定在注册表中（方位和将SynAttackProtect）

·的SYN cookies是技能

我们知道，TCP协议比喻一个大的内存空间的开拓积压行列存储进入半收敛，当SYN恳求添加，这个空间，导致系统丢失的SYN收敛。半收敛行列，充满与服务的设备仍然可以处理新的SYN恳求，SYN cookies是被描绘的技能。

在Linux，FreeBSD和其他操作系统，半收敛的充分SYNcookies的行列时不会丢失的SYN恳求，但加密技术的SYN cookies用于识别的半收敛的情况。

TCP的SYN请求收到客户端时结束，设备回复SYN + ACK包到客户服务的需要，客户应承认包发送服务设备。普通，服务设备服务的某些规则的会计，以获得或使用的随机数，的SYN cookies的初始序列编号，服务的初始序列编号的客户端的IP地址，在客户端的端点进口，服务的要素IP地址和服务进口方和其他哈希计算的安全值，加密得到饼干。服务设备遭受SYN的入侵使积压的队伍全，发球不拒绝在新的SYN恳求，但是，饼干的答复数据包的SYN序列号码到客户端的答复，如果客户端的ACK包被收到，服务客户ACK序列号减去1，cookie的无与伦比的价值，而这些元素哈希操作的结束，如果你可以在这里的cookie。平直接到三路握手结束（注意：目前并没有检查这种融合是否应占积压队伍）。

RedHat Linux上的SYN Cookie的启用结束设置在发射环境，下面的命令：

·添加收敛最

的SYN恳求产生不衔接的行列填充，正常的TCP收敛不能成功来结束的三路握手，增加后没有链接与空间的行列，可以缓解这种压力。当然，积压的行列，占用大量内存资源的需求不能无限期扩大。

Windows2000的：除了上述介绍的发生，如果TcpMaxHalfOpen，TcpMaxHalfOpenRetried参数，一套动态积压（动态积压）增加包容性的系统，可最有可能收敛到设备动态积压渔农处后，在Windows 2000操作系统。 SYS驱动端是AFD.SYS是一种内核级驱动程序，用于维持程序的窗口插座使用，例如，FTP，TELNET，等。 AFD.SYS在注册表的方向：

HKLMSystemCurrentControlSetServicesAFDParametersEnableDynamicBacklog值是1，标记，使动态的积压，并且可以修复大部分数的收敛。

MinimumDynamicBacklog半收敛的行列，标志着一个TCP年底衔接为此进口最低分配，休闲时，积压的行列休闲衔接的TCP年底进口小于这个临界值时，系统进口的倡议，使扩大休闲收敛（DynamicBacklogGrowthDelta）微软转介值20。

活动MaximumDynamicBacklog半的时间和休闲收敛，收敛和超越某一临界值时，系统拒绝的SYN包，微软转诊MaximumDynamicBacklog价值不得超过2000。

是指休闲收敛扩张DynamicBacklogGrowthDelta价值，这种融合数量不占MaximumDynamicBacklog，系统主动分配休闲DynamicBacklogGrowthDelta收敛空间的定义，当休闲的一面进口分配的行列半收敛一个TCP收敛是比MinimumDynamicBacklog启用了TCP年底进口，可以处理更多的半收敛少。微软转介值10。

Linux操作系统：Linux的最具包容性的收敛数量积压行列的变量tcp_max_syn_backlog定义。的Redhat 7.3，值的变量默认为256，这个值是不够的，时间的SYN入侵强度就能使充满行列的半收敛。我们解决这个变量的值可以受到以下说明：

Sun Solaris上的Sun Solaris变量tcp_conn_req_max_q0的划定最有可能收敛add命令改变这个值后，Sun公司的Solaris 8，默许价值1024：

HP-UX的HP-UX的变量tcp_syn_rcvd_max划定的HP-UX 11.00的最收敛的数量，价值500默许默许价值NDD指令后的变化是：

·缩短超时工作

上面说的，后提高排名的SYN入侵准备的积压;其他削减加班，使系统处理更多的SYN恳求。 ，超时时间的努力，我们知道，半收敛的生存努力，是系统所有重传超时等待工作的总和，这个值越大占领积压，工作半收敛的行列更长的时间，该系统可以处理的SYN恳求少。为了缩短超时工作可以缩短转播时间的努力（普通的第一次重传超时工作）和转播数量削减到最后。

Windows2000的第一次重传等待的东西之前，默认为3秒这一修正后的网络接入进口的的注册表TcpInitialRtt注册到年底的价值隐含价值变化。定义数转播TcpMaxConnectResponseRetransmissions的注册表方向：

当然，我们也可以把转播的数量设置为0，所以服务设备没有收到在三秒钟内ACK承认收敛项方案，采取主动从积压的行列中删除。

Linux操作系统：的Redhat使用变量tcp_synack_ret​​ries重传次数的定义，与他们的默许下，值是5，总时间的努力，需要三分钟。

Sun Solaris上的转播数量的Solaris默认是3倍，总时间为3分钟后NDD说明解决这些默认值的努力。