流量攻击防御：syn攻击怎么解决？

syn攻击怎么解决：SYN-Flood攻击是指攻击者利用TCP三次握手的原理，向目标主机发送大量SYN标志的TCP请求，当服务器接收的这些请求数据包的时候，会为这些连接请求建立会话，并且把这些并未建立完整连接的会话排到缓冲区队列中。攻击者可以发送源地址为假的分组，等待服务器发送分组，而由于源地址为假，因为系统发送回来的分组就等不到源地址主机的响应，因此，服务器的带宽和资源将在维持大量的这类半连接上被消耗掉，一旦请求超过了服务器的缓冲区容量，此时服务器就不能再接收新的连接请求了。此时其他合法的用户就无法建立与服务器的连接。

安全研究分析显示，由于IoT的迅速发展，智能路由器、摄像头等设备数量也随之剧增，给DDoS攻击的滋长提供了温室。因智能设备漏洞较多，并更新修复困难，导致此类设备容易被黑客入侵控制，成为发动DDoS攻击的“肉鸡”。

在多种DDoS攻击手法中，应用层攻击频次呈现明显的大幅提升，在所有攻击中，UDPFLOOD仍是黑客最最主要的攻击手法，其中，SSDP反射和NTP反射攻击手法成为DDoS攻击最“时髦”的选择，此外，OpenVPN反射、Ubiquiti反射、NetAssistant反射、CoAP反射、DVR UDP反射、IPSec反射等新反射手法层出不穷，与SSDP反射和NTP反射形成叠加共存局面，这为企业攻防工作提出了新的挑战。

网络环境安全问题日益严峻，据墨者安全监控平台上半年的数据显示，小于200G的攻击占比85%，但每天都有超过300G的攻击，其中攻击类型多数为SYN Flood、NTP反射等。

syn攻击怎么解决？下面将对墨者安全流量清洗系统中的一个攻击事件进行解析

攻击从当天凌晨1点半开始，持续了半小时左右，最高峰值达到了379.41 Gb。通过查看抓包报文，确定了本次是TCP协议的SYN Flood攻击。

接着查询了攻击源IP地址，分别来源：美国纽约、法国、马来西亚、新加坡、意大利等，都是来自海外不同地区的IP。

然后统计了报文里的源IP，总共有4934个。这种情况下，要么就是攻击者有很多“肉鸡”，要么就是伪造源IP的SYN报文。最后，通过统计源IP报文数量发现，每个源IP只发了一个SYN报文。因此可以确定是属于伪造源IP的SYN Flood攻击。

那么针对syn攻击怎么解决？

相信了解过TCP三次握手的朋友都知道，客户端和服务器要建立连接，需要进行三次握手，而客户端请求连接时，第一个包就是SYN报文，当服务器收到后，会回复SYN ACK报文，之后客户端再发送ACK报文，确定建立连接完成。

攻击者针对TCP三次握手机制的漏洞，制造了SYN Flood攻击。首先攻击者向服务器发送了一个SYN报文后，紧接着就下线了。于是，服务器没有接收到ACK报文，只能等待默认的63秒后才会断开连接。就这样，攻击者通过向服务器发起大量的SYN报文，把服务器的SYN报文连接的队列生生耗尽，导致正常的连接请求得不到处理。

此时可通过丢弃客户端的第一个SYN报文来达到防御的目的，这就是“首包丢弃”了。但如果丢弃了SYN报文，客户端与服务器之间又如何进行连接呢？

TCP是一种可靠的协议，为了确保所有的数据包都能到达服务器，设计了一个重传机制。真实的客户端访问，在一定的时间内如果没有收到服务器的回复，将会再次发送SYN报文，但攻击机制通常不会再重发。所以丢弃首次SYN报文后，就相当于过滤掉了虚假的客户端访问，进而防御了伪造源IP进行的SYN Flood攻击，保障了服务器的正常运行。

墨者安全可全面抵御任何类型的DDoS及CC类型攻击，提供1T超大防护带宽，能有效抵御SYN Flood、ACK Flood、ICMP Flood、UDP Flood等各类常见的攻击类型，有防御DDOS攻击1-4.7T及百万级CC并发的实战防御经验，尤其适用于游戏/金融/在线社群/政企/流媒体等复合类型类客户，由国内白帽子二十人组成员之一，每年微软及Google漏洞提交者，鹰派联盟核心创始人主阵。