SYN攻擊是什么？SYN攻擊原理與預(yù)防，技巧集錦!

SYN攻擊是什么？

歸結(jié)到DOS入侵一個(gè)SYN入侵，它使用TCP協(xié)議的缺點(diǎn)，懇求通過(guò)發(fā)送大量的半收斂，CPU和內(nèi)存資源的消耗。 SYN的入侵除了能影響主機(jī)，還可以損壞路由器，防火墻和其他網(wǎng)絡(luò)系統(tǒng)。
普通同步保護(hù)的做法是：
1，過(guò)濾網(wǎng)關(guān)防護(hù)

這里，過(guò)濾網(wǎng)關(guān)指定防火墻，路由器，當(dāng)然也可以成為過(guò)濾網(wǎng)關(guān)。安排不合法之間的奇怪的網(wǎng)絡(luò)防火墻，防備外來(lái)侵略和防止機(jī)密信息的泄漏，它是客戶端和服務(wù)器之間使用它來(lái)保護(hù)的SYN侵入能夠起到很好的作用。主過(guò)濾網(wǎng)關(guān)防護(hù)罩超時(shí)設(shè)置的SYN網(wǎng)關(guān)和SYN代理三種。

2，加固TCP / IP協(xié)議棧

準(zhǔn)備的SYN入侵另一個(gè)主要技能是調(diào)整TCP / IP協(xié)議棧，正確的TCP協(xié)議完成。將SynAttackProtect維護(hù)機(jī)制，SYN Cookie的技能的主要途徑，并稱最銜接和縮短超時(shí)工作。 TCP / IP協(xié)議棧的調(diào)整可能會(huì)導(dǎo)致一些功能限制，應(yīng)該是豐富的管理員打聽，測(cè)試這項(xiàng)工作的前提。

然而，為了完成保護(hù)SYN入侵我主張
我個(gè)人認(rèn)為，（ARP\ UDP\ TCP SYN底層協(xié)議的差距形成的入侵。
一些傳統(tǒng)的360衛(wèi)士ARP防火墻，殺毒軟件，我已經(jīng)試過(guò)沒有。
為了全面內(nèi)網(wǎng)處理，我主張，你可以嘗試在網(wǎng)絡(luò)中的免疫網(wǎng)絡(luò)處理程序之前，我處理后的免疫網(wǎng)絡(luò)入侵。 

攻擊原理以及預(yù)防如下：據(jù)統(tǒng)計(jì)，在所有的事情，黑客入侵，SYN入侵是最常見和最簡(jiǎn)單的入侵方式使用。相信很多人都記得，2000年雅虎網(wǎng)站遭受入侵的情況下，黑客使用的時(shí)間是短暫的，但有用的SYN入侵的SYN入侵形成一個(gè)更大的損害，一些網(wǎng)絡(luò)蠕蟲的合作。本文介紹的SYN入侵事物的基本原則，測(cè)試方法，并具體討論的SYN的入侵準(zhǔn)備技能。

首先，TCP握手協(xié)議

TCP / IP協(xié)議，TCP協(xié)議供應(yīng)的強(qiáng)收斂性的發(fā)球局中，選擇三次握手建立一個(gè)收斂。

的第一次握手：建立銜接，客戶端發(fā)送SYN包（SYN = J）服務(wù)設(shè)備，和成SYN_SEND情況，等待服務(wù)設(shè)備識(shí)別;

第二次握手：服務(wù)收到一個(gè)SYN包，我們必須認(rèn)識(shí)到客戶的SYN（ACK = J +1），也是我在時(shí)刻發(fā)送一個(gè)SYN包（SYN = K）的SYN + ACK包，服務(wù)設(shè)備進(jìn)入SYN_RECV情況;

第三次握手：客戶端接受服務(wù)的SYN + ACK包，識(shí)別數(shù)據(jù)包發(fā)送的ACK（ACK = K +1），這個(gè)包發(fā)送到客戶端和服務(wù)所建立的情況下三次握手結(jié)束。

三次握手結(jié)束，客戶端和服務(wù)的設(shè)備，開始在上述過(guò)程中傳輸?shù)臄?shù)據(jù)，也有一些重要的概念：

趨同的行列：“三路握手協(xié)議中，為維護(hù)1收斂的行列，在每個(gè)客戶端的SYN包（SYN = j）創(chuàng)建一個(gè)條目，它的出服務(wù)的原則，已收到一個(gè)SYN包到行列客戶宣布它承認(rèn)，正​​在等待客戶承認(rèn)包。這些條目確定收斂的在SYN_RECV情況的服務(wù)設(shè)備，發(fā)球時(shí)收到客戶確認(rèn)包，刪除該條目，并為建立情況。

積壓參數(shù)：標(biāo)記的數(shù)量最大的包容性的行列收斂。

發(fā)送SYN-ACK包服務(wù)，如果客戶沒有收到確認(rèn)包，為初始的重傳，等待更多的工作，不接受客戶的SYN-ACK重傳次數(shù)承認(rèn)，第二次重傳的包，如果再傳真號(hào)碼超出最大數(shù)量的轉(zhuǎn)播系統(tǒng)，規(guī)則系統(tǒng)的信息從半收斂的行列中刪除的收斂時(shí)間。每次重傳，等待努力的重點(diǎn)必須是相同的。

一半生存的努力：是指半收斂進(jìn)入生存的最長(zhǎng)的工作結(jié)合，即服務(wù)從收到SYN包到確認(rèn)此消息無(wú)效最長(zhǎng)的工作行列，工作的價(jià)值是最長(zhǎng)的所有等待轉(zhuǎn)播懇求包工作的總和。我們有時(shí)也被稱為半收斂的生存努力超時(shí)工作SYN_RECV存活的努力。

第二，的SYN侵入原則

的SYN入侵歸結(jié)到DOS入侵利用了TCP協(xié)議的缺陷，發(fā)送大量的半收斂懇求后，CPU和內(nèi)存資源的消耗，。的SYN入侵除了能影響主機(jī)，也可能會(huì)損壞路由器，防火墻和其他網(wǎng)絡(luò)系統(tǒng)，事實(shí)上SYN入侵的政策，無(wú)論是什么系統(tǒng)，系統(tǒng)開放的TCP服務(wù)，可以實(shí)現(xiàn)。從圖中可以看到，接收設(shè)備服務(wù)懇求收斂（SYN = J），此信息不銜接的行列，參加和懇求包發(fā)送到客戶端（SYN = K，ACK = J +1），在目前進(jìn)入SYN_RECV情況，。服務(wù)沒有收到客戶端包的識(shí)別，懇求包重發(fā)直至超時(shí)，只有這個(gè)條目從未收斂刪去的行列。 IP欺騙的SYN入侵可以到達(dá)好，一般情況下，客戶短期工作，在一個(gè)假的IP地址不存在，發(fā)送一個(gè)SYN包到設(shè)備的服務(wù)，繼續(xù)為回復(fù)確認(rèn)包，并等待客戶承認(rèn)，源地址不存在，需求繼續(xù)擔(dān)任設(shè)備重新發(fā)行，直至超時(shí)，這些偽造的SYN包長(zhǎng)期努力占據(jù)不收斂至正常的SYN乞求丟失的行列，政策體系運(yùn)行緩慢，嚴(yán)重的情況下，給予上升到網(wǎng)絡(luò)擁塞，以及系統(tǒng)癱瘓。

第三次時(shí)，SYN入侵的東西

的SYN入侵結(jié)束了很簡(jiǎn)單的，在互聯(lián)網(wǎng)上有許多準(zhǔn)備的SYN入侵的事情。

Windows系統(tǒng)下的SYN事情：

到synkill.exe運(yùn)行的東西，選擇一個(gè)隨機(jī)的源地址和進(jìn)口來(lái)源，并填寫機(jī)器地址和TCP年底進(jìn)口的原則，激活操作，很快就會(huì)發(fā)現(xiàn)一個(gè)政策系統(tǒng)運(yùn)行緩慢。對(duì)于入侵的作用并不明顯，可本機(jī)的原理是不開放給填寫的TCP端進(jìn)口可能是防火墻拒絕的那一刻方進(jìn)口的訪問(wèn)，可以選擇答應(yīng)訪問(wèn)的TCP端進(jìn)口，普通Windows系統(tǒng)打開tcp139年底進(jìn)口UNIX系統(tǒng)開放tcp7，21，23和進(jìn)口的另一端。

檢測(cè)到的SYN入侵

檢測(cè)的SYN侵入非常方便，當(dāng)你服務(wù)的半收斂的情況下，令人吃驚的是源IP地址是隨機(jī)的，基本上可以判定這是一個(gè)SYN入侵。我們使用的系統(tǒng)，用netstat的事情來(lái)檢測(cè)的SYN入侵：

收斂的的SYN_RECV情況（在WINDOWS系統(tǒng)中是SYN_RECEIVED情況），源IP地址是隨機(jī)的，標(biāo)有IP欺騙的SYN入侵。

我們還直接檢查收斂排名在Linux環(huán)境下月底可以受到以下說(shuō)明的進(jìn)口數(shù)量的條目：

324顯示TCP高檔進(jìn)口數(shù)量22沒有收斂，當(dāng)然，遠(yuǎn)遠(yuǎn)超過(guò)了系統(tǒng)限制少，但它應(yīng)該上升到管理員重點(diǎn)。

五時(shí)，SYN入侵的準(zhǔn)備技巧

我們討論相比，早在SYN入侵的準(zhǔn)備技能。概括地說(shuō)，前兩類，一個(gè)是保護(hù)，如防火墻，路由器，網(wǎng)關(guān)過(guò)濾，和其他的TCP / IP協(xié)議棧已加強(qiáng)準(zhǔn)備，但它必須是明確和SYN的侵略不能完全阻塞，我們真的可以減輕的SYN入侵的破壞，除非從頭TCP協(xié)議的描繪。

1，過(guò)濾網(wǎng)關(guān)防護(hù)

這里，過(guò)濾網(wǎng)關(guān)指定防火墻，路由器，當(dāng)然也可以成為過(guò)濾網(wǎng)關(guān)。防火墻網(wǎng)絡(luò)，在一個(gè)陌生的安排，準(zhǔn)備外國(guó)非法入侵，并防止機(jī)密信息泄漏，它是客戶端和服務(wù)之間，將它應(yīng)用到保護(hù)SYN侵入能夠起到很好的作用。主過(guò)濾網(wǎng)關(guān)防護(hù)罩超時(shí)設(shè)置的SYN網(wǎng)關(guān)和SYN代理三種。

·網(wǎng)關(guān)超時(shí)設(shè)置：

防火墻設(shè)置SYN轉(zhuǎn)發(fā)超時(shí)參數(shù)（檢測(cè)防火墻的情況可以在位置內(nèi)設(shè)置），這個(gè)參數(shù)是遠(yuǎn)遠(yuǎn)超過(guò)服務(wù)工作超時(shí)。當(dāng)客戶端發(fā)送一個(gè)SYN包，服務(wù)發(fā)送承認(rèn)包（SYN + ACK包），防火墻如果在計(jì)數(shù)器到期沒有收到客戶端的確認(rèn)包（ACK），則發(fā)送RST包，以控制服務(wù)，這樣的服務(wù)被刪除從半收斂的行列。值得關(guān)注的是，網(wǎng)關(guān)超時(shí)參數(shù)設(shè)置不能太小，它是不是過(guò)大，過(guò)小會(huì)影響正常通信的超時(shí)參數(shù)設(shè)置，設(shè)置過(guò)大，會(huì)影響準(zhǔn)備的SYN侵入的作用，必須根據(jù)網(wǎng)絡(luò)的使用環(huán)境來(lái)設(shè)置此參數(shù)。

的SYN網(wǎng)關(guān)：

的SYN網(wǎng)關(guān)收到客戶端的SYN數(shù)據(jù)包被轉(zhuǎn)發(fā)的直接控制的服務(wù);的SYN網(wǎng)關(guān)收到的SYN / ACK數(shù)據(jù)包，轉(zhuǎn)發(fā)給客戶端的數(shù)據(jù)包后控制的服務(wù)，并還以服務(wù)代表客戶端的頭發(fā)設(shè)備的ACK確認(rèn)包。服務(wù)由半收斂的情況下，目前進(jìn)入收斂狀態(tài)。當(dāng)客戶端確認(rèn)包到達(dá)時(shí)，如果數(shù)據(jù)被轉(zhuǎn)發(fā)，否則丟棄。事實(shí)上，除了維持半收斂隊(duì)伍服務(wù)，但也有一個(gè)收斂的行列，如果的SYN攻擊入侵，將連接附加數(shù)的行列，但普通服務(wù)的數(shù)量可接受的融合是遠(yuǎn)遠(yuǎn)超過(guò)一半的銜接，因此，這種方法可以減少土地服務(wù)​​的入侵。

·SYN代理：

當(dāng)客戶端SYN包到達(dá)過(guò)濾網(wǎng)關(guān)時(shí)，SYN代理并不轉(zhuǎn)發(fā)SYN包，而是為主動(dòng)的名字在回復(fù)客戶端的SYN / ACK包，如果收到客戶的ACK包，表明這是一種正常訪問(wèn)。目前防火墻服務(wù)設(shè)備發(fā)送一個(gè)ACK包和三次握手結(jié)束。取代了SYN代理事實(shí)上，服務(wù)的設(shè)備處置的SYN入侵承認(rèn)在網(wǎng)關(guān)過(guò)濾器本身具有很強(qiáng)的防備的SYN以入侵。

2，加固TCP / IP協(xié)議棧

準(zhǔn)備的SYN侵入另一個(gè)主要技能是調(diào)整TCP / IP協(xié)議棧，TCP協(xié)議的最終解決。將SynAttackProtect維護(hù)機(jī)制，SYN Cookie的技能的主要途徑，并稱最銜接和縮短超時(shí)工作。 TCP / IP協(xié)議棧的調(diào)整給上升到一定的作用有限，管理員應(yīng)該豐富要求各地和測(cè)試，這項(xiàng)工作的前提

將SynAttackProtect機(jī)制

要準(zhǔn)備的SYN入侵Windows 2000系統(tǒng)，TCP / IP協(xié)議棧嵌入將SynAttackProtect機(jī)制，Win2003的系統(tǒng)也可以使用這種機(jī)制。將SynAttackProtect機(jī)制，關(guān)閉某些socket選項(xiàng)后添加的名義趨同的方向和減少超時(shí)工作，使系統(tǒng)可以處理更多的SYN銜接，達(dá)成意向的SYN入侵防范。默許，Windows 2000操作系統(tǒng)不維持將SynAttackProtect維護(hù)機(jī)制，將SynAttackProtect注冊(cè)表中的需求，添加以下位置：

SynAttackProtect值（如驚訝地澄清，這篇文章中涉及到的注冊(cè)表鍵值為十六進(jìn)制）為0或不設(shè)置，該系統(tǒng)是將SynAttackProtect維護(hù)。

1:00后的轉(zhuǎn)播數(shù)量的減少和延遲SynAttackProtect值系統(tǒng)沒有收斂的路由緩沖（路由緩存項(xiàng)）準(zhǔn)備的SYN入侵。

SynAttackProtect值2:00（微軟轉(zhuǎn)介使用此值），該系統(tǒng)不僅利用積壓隊(duì)伍，并使用額外的半收斂指標(biāo)，以處理更多的SYN收斂，使用此鍵TCP / IP的TCPInitialRTT窗口大小和滑動(dòng)窗口的進(jìn)口將被停止。

我們應(yīng)該知道，通常情況下，系統(tǒng)沒有啟用將SynAttackProtect機(jī)制，只能檢測(cè)到的SYN入侵，只有啟用和調(diào)整TCP / IP協(xié)議棧。那么系統(tǒng)是如何檢測(cè)入侵攻擊的SYN它呢？事實(shí)上，按照系統(tǒng)發(fā)生TcpMaxHalfOpen，TcpMaxHalfOpenRetried，并TcpMaxPortsExhausted三個(gè)參數(shù)區(qū)分是否遭受的SYN入侵。

TcpMaxHalfOpen明顯也可以處理的最收斂的數(shù)量，如果超出此值，系統(tǒng)在SYN是入侵。 Windows2000服務(wù)器的默認(rèn)值為100，Windows2000的高級(jí)服務(wù)器500。

TcpMaxHalfOpenRetried定義的半收斂的積壓和轉(zhuǎn)播過(guò)的行列中儲(chǔ)存的電話號(hào)碼，如果超出此值，系統(tǒng)主動(dòng)推出將SynAttackProtect機(jī)制。 Windows2000服務(wù)器的默認(rèn)值為80，Windows2000的高級(jí)服務(wù)器400。

TcpMaxPortsExhausted是指系統(tǒng)拒絕的SYN請(qǐng)求的數(shù)據(jù)包數(shù)量，默認(rèn)是5。

如果你想調(diào)整以上參數(shù)值的默許，可以固定在注冊(cè)表中（方位和將SynAttackProtect）

·的SYN cookies是技能

我們知道，TCP協(xié)議比喻一個(gè)大的內(nèi)存空間的開拓積壓行列存儲(chǔ)進(jìn)入半收斂，當(dāng)SYN懇求添加，這個(gè)空間，導(dǎo)致系統(tǒng)丟失的SYN收斂。半收斂行列，充滿與服務(wù)的設(shè)備仍然可以處理新的SYN懇求，SYN cookies是被描繪的技能。

在Linux，F(xiàn)reeBSD和其他操作系統(tǒng)，半收斂的充分SYNcookies的行列時(shí)不會(huì)丟失的SYN懇求，但加密技術(shù)的SYN cookies用于識(shí)別的半收斂的情況。

TCP的SYN請(qǐng)求收到客戶端時(shí)結(jié)束，設(shè)備回復(fù)SYN + ACK包到客戶服務(wù)的需要，客戶應(yīng)承認(rèn)包發(fā)送服務(wù)設(shè)備。普通，服務(wù)設(shè)備服務(wù)的某些規(guī)則的會(huì)計(jì)，以獲得或使用的隨機(jī)數(shù)，的SYN cookies的初始序列編號(hào)，服務(wù)的初始序列編號(hào)的客戶端的IP地址，在客戶端的端點(diǎn)進(jìn)口，服務(wù)的要素IP地址和服務(wù)進(jìn)口方和其他哈希計(jì)算的安全值，加密得到餅干。服務(wù)設(shè)備遭受SYN的入侵使積壓的隊(duì)伍全，發(fā)球不拒絕在新的SYN懇求，但是，餅干的答復(fù)數(shù)據(jù)包的SYN序列號(hào)碼到客戶端的答復(fù)，如果客戶端的ACK包被收到，服務(wù)客戶ACK序列號(hào)減去1，cookie的無(wú)與倫比的價(jià)值，而這些元素哈希操作的結(jié)束，如果你可以在這里的cookie。平直接到三路握手結(jié)束（注意：目前并沒有檢查這種融合是否應(yīng)占積壓隊(duì)伍）。

RedHat Linux上的SYN Cookie的啟用結(jié)束設(shè)置在發(fā)射環(huán)境，下面的命令：

·添加收斂最

的SYN懇求產(chǎn)生不銜接的行列填充，正常的TCP收斂不能成功來(lái)結(jié)束的三路握手，增加后沒有鏈接與空間的行列，可以緩解這種壓力。當(dāng)然，積壓的行列，占用大量?jī)?nèi)存資源的需求不能無(wú)限期擴(kuò)大。

Windows2000的：除了上述介紹的發(fā)生，如果TcpMaxHalfOpen，TcpMaxHalfOpenRetried參數(shù)，一套動(dòng)態(tài)積壓（動(dòng)態(tài)積壓）增加包容性的系統(tǒng)，可最有可能收斂到設(shè)備動(dòng)態(tài)積壓漁農(nóng)處后，在Windows 2000操作系統(tǒng)。 SYS驅(qū)動(dòng)端是AFD.SYS是一種內(nèi)核級(jí)驅(qū)動(dòng)程序，用于維持程序的窗口插座使用，例如，F(xiàn)TP，TELNET，等。 AFD.SYS在注冊(cè)表的方向：

HKLMSystemCurrentControlSetServicesAFDParametersEnableDynamicBacklog值是1，標(biāo)記，使動(dòng)態(tài)的積壓，并且可以修復(fù)大部分?jǐn)?shù)的收斂。

MinimumDynamicBacklog半收斂的行列，標(biāo)志著一個(gè)TCP年底銜接為此進(jìn)口最低分配，休閑時(shí)，積壓的行列休閑銜接的TCP年底進(jìn)口小于這個(gè)臨界值時(shí)，系統(tǒng)進(jìn)口的倡議，使擴(kuò)大休閑收斂（DynamicBacklogGrowthDelta）微軟轉(zhuǎn)介值20。

活動(dòng)MaximumDynamicBacklog半的時(shí)間和休閑收斂，收斂和超越某一臨界值時(shí)，系統(tǒng)拒絕的SYN包，微軟轉(zhuǎn)診MaximumDynamicBacklog價(jià)值不得超過(guò)2000。

是指休閑收斂擴(kuò)張DynamicBacklogGrowthDelta價(jià)值，這種融合數(shù)量不占MaximumDynamicBacklog，系統(tǒng)主動(dòng)分配休閑DynamicBacklogGrowthDelta收斂空間的定義，當(dāng)休閑的一面進(jìn)口分配的行列半收斂一個(gè)TCP收斂是比MinimumDynamicBacklog啟用了TCP年底進(jìn)口，可以處理更多的半收斂少。微軟轉(zhuǎn)介值10。

Linux操作系統(tǒng)：Linux的最具包容性的收斂數(shù)量積壓行列的變量tcp_max_syn_backlog定義。的Redhat 7.3，值的變量默認(rèn)為256，這個(gè)值是不夠的，時(shí)間的SYN入侵強(qiáng)度就能使充滿行列的半收斂。我們解決這個(gè)變量的值可以受到以下說(shuō)明：

Sun Solaris上的Sun Solaris變量tcp_conn_req_max_q0的劃定最有可能收斂add命令改變這個(gè)值后，Sun公司的Solaris 8，默許價(jià)值1024：

HP-UX的HP-UX的變量tcp_syn_rcvd_max劃定的HP-UX 11.00的最收斂的數(shù)量，價(jià)值500默許默許價(jià)值NDD指令后的變化是：

·縮短超時(shí)工作

上面說(shuō)的，后提高排名的SYN入侵準(zhǔn)備的積壓;其他削減加班，使系統(tǒng)處理更多的SYN懇求。 ，超時(shí)時(shí)間的努力，我們知道，半收斂的生存努力，是系統(tǒng)所有重傳超時(shí)等待工作的總和，這個(gè)值越大占領(lǐng)積壓，工作半收斂的行列更長(zhǎng)的時(shí)間，該系統(tǒng)可以處理的SYN懇求少。為了縮短超時(shí)工作可以縮短轉(zhuǎn)播時(shí)間的努力（普通的第一次重傳超時(shí)工作）和轉(zhuǎn)播數(shù)量削減到最后。

Windows2000的第一次重傳等待的東西之前，默認(rèn)為3秒這一修正后的網(wǎng)絡(luò)接入進(jìn)口的的注冊(cè)表TcpInitialRtt注冊(cè)到年底的價(jià)值隱含價(jià)值變化。定義數(shù)轉(zhuǎn)播TcpMaxConnectResponseRetransmissions的注冊(cè)表方向：

當(dāng)然，我們也可以把轉(zhuǎn)播的數(shù)量設(shè)置為0，所以服務(wù)設(shè)備沒有收到在三秒鐘內(nèi)ACK承認(rèn)收斂項(xiàng)方案，采取主動(dòng)從積壓的行列中刪除。

Linux操作系統(tǒng)：的Redhat使用變量tcp_synack_ret​​ries重傳次數(shù)的定義，與他們的默許下，值是5，總時(shí)間的努力，需要三分鐘。

Sun Solaris上的轉(zhuǎn)播數(shù)量的Solaris默認(rèn)是3倍，總時(shí)間為3分鐘后NDD說(shuō)明解決這些默認(rèn)值的努力。