SYN攻擊是什么？SYN攻擊原理與預(yù)防，技巧集錦!

SYN攻擊是什么？

歸結(jié)到DOS入侵一個SYN入侵，它使用TCP協(xié)議的缺點，懇求通過發(fā)送大量的半收斂，CPU和內(nèi)存資源的消耗。 SYN的入侵除了能影響主機，還可以損壞路由器，防火墻和其他網(wǎng)絡(luò)系統(tǒng)。
普通同步保護的做法是：
1，過濾網(wǎng)關(guān)防護

這里，過濾網(wǎng)關(guān)指定防火墻，路由器，當(dāng)然也可以成為過濾網(wǎng)關(guān)。安排不合法之間的奇怪的網(wǎng)絡(luò)防火墻，防備外來侵略和防止機密信息的泄漏，它是客戶端和服務(wù)器之間使用它來保護的SYN侵入能夠起到很好的作用。主過濾網(wǎng)關(guān)防護罩超時設(shè)置的SYN網(wǎng)關(guān)和SYN代理三種。

2，加固TCP / IP協(xié)議棧

準(zhǔn)備的SYN入侵另一個主要技能是調(diào)整TCP / IP協(xié)議棧，正確的TCP協(xié)議完成。將SynAttackProtect維護機制，SYN Cookie的技能的主要途徑，并稱最銜接和縮短超時工作。 TCP / IP協(xié)議棧的調(diào)整可能會導(dǎo)致一些功能限制，應(yīng)該是豐富的管理員打聽，測試這項工作的前提。

然而，為了完成保護SYN入侵我主張
我個人認(rèn)為，（ARP\ UDP\ TCP SYN底層協(xié)議的差距形成的入侵。
一些傳統(tǒng)的360衛(wèi)士ARP防火墻，殺毒軟件，我已經(jīng)試過沒有。
為了全面內(nèi)網(wǎng)處理，我主張，你可以嘗試在網(wǎng)絡(luò)中的免疫網(wǎng)絡(luò)處理程序之前，我處理后的免疫網(wǎng)絡(luò)入侵。 

攻擊原理以及預(yù)防如下：據(jù)統(tǒng)計，在所有的事情，黑客入侵，SYN入侵是最常見和最簡單的入侵方式使用。相信很多人都記得，2000年雅虎網(wǎng)站遭受入侵的情況下，黑客使用的時間是短暫的，但有用的SYN入侵的SYN入侵形成一個更大的損害，一些網(wǎng)絡(luò)蠕蟲的合作。本文介紹的SYN入侵事物的基本原則，測試方法，并具體討論的SYN的入侵準(zhǔn)備技能。

首先，TCP握手協(xié)議

TCP / IP協(xié)議，TCP協(xié)議供應(yīng)的強收斂性的發(fā)球局中，選擇三次握手建立一個收斂。

的第一次握手：建立銜接，客戶端發(fā)送SYN包（SYN = J）服務(wù)設(shè)備，和成SYN_SEND情況，等待服務(wù)設(shè)備識別;

第二次握手：服務(wù)收到一個SYN包，我們必須認(rèn)識到客戶的SYN（ACK = J +1），也是我在時刻發(fā)送一個SYN包（SYN = K）的SYN + ACK包，服務(wù)設(shè)備進入SYN_RECV情況;

第三次握手：客戶端接受服務(wù)的SYN + ACK包，識別數(shù)據(jù)包發(fā)送的ACK（ACK = K +1），這個包發(fā)送到客戶端和服務(wù)所建立的情況下三次握手結(jié)束。

三次握手結(jié)束，客戶端和服務(wù)的設(shè)備，開始在上述過程中傳輸?shù)臄?shù)據(jù)，也有一些重要的概念：

趨同的行列：“三路握手協(xié)議中，為維護1收斂的行列，在每個客戶端的SYN包（SYN = j）創(chuàng)建一個條目，它的出服務(wù)的原則，已收到一個SYN包到行列客戶宣布它承認(rèn)，正​​在等待客戶承認(rèn)包。這些條目確定收斂的在SYN_RECV情況的服務(wù)設(shè)備，發(fā)球時收到客戶確認(rèn)包，刪除該條目，并為建立情況。

積壓參數(shù)：標(biāo)記的數(shù)量最大的包容性的行列收斂。

發(fā)送SYN-ACK包服務(wù)，如果客戶沒有收到確認(rèn)包，為初始的重傳，等待更多的工作，不接受客戶的SYN-ACK重傳次數(shù)承認(rèn)，第二次重傳的包，如果再傳真號碼超出最大數(shù)量的轉(zhuǎn)播系統(tǒng)，規(guī)則系統(tǒng)的信息從半收斂的行列中刪除的收斂時間。每次重傳，等待努力的重點必須是相同的。

一半生存的努力：是指半收斂進入生存的最長的工作結(jié)合，即服務(wù)從收到SYN包到確認(rèn)此消息無效最長的工作行列，工作的價值是最長的所有等待轉(zhuǎn)播懇求包工作的總和。我們有時也被稱為半收斂的生存努力超時工作SYN_RECV存活的努力。

第二，的SYN侵入原則

的SYN入侵歸結(jié)到DOS入侵利用了TCP協(xié)議的缺陷，發(fā)送大量的半收斂懇求后，CPU和內(nèi)存資源的消耗，。的SYN入侵除了能影響主機，也可能會損壞路由器，防火墻和其他網(wǎng)絡(luò)系統(tǒng)，事實上SYN入侵的政策，無論是什么系統(tǒng)，系統(tǒng)開放的TCP服務(wù)，可以實現(xiàn)。從圖中可以看到，接收設(shè)備服務(wù)懇求收斂（SYN = J），此信息不銜接的行列，參加和懇求包發(fā)送到客戶端（SYN = K，ACK = J +1），在目前進入SYN_RECV情況，。服務(wù)沒有收到客戶端包的識別，懇求包重發(fā)直至超時，只有這個條目從未收斂刪去的行列。 IP欺騙的SYN入侵可以到達好，一般情況下，客戶短期工作，在一個假的IP地址不存在，發(fā)送一個SYN包到設(shè)備的服務(wù)，繼續(xù)為回復(fù)確認(rèn)包，并等待客戶承認(rèn)，源地址不存在，需求繼續(xù)擔(dān)任設(shè)備重新發(fā)行，直至超時，這些偽造的SYN包長期努力占據(jù)不收斂至正常的SYN乞求丟失的行列，政策體系運行緩慢，嚴(yán)重的情況下，給予上升到網(wǎng)絡(luò)擁塞，以及系統(tǒng)癱瘓。

第三次時，SYN入侵的東西

的SYN入侵結(jié)束了很簡單的，在互聯(lián)網(wǎng)上有許多準(zhǔn)備的SYN入侵的事情。

Windows系統(tǒng)下的SYN事情：

到synkill.exe運行的東西，選擇一個隨機的源地址和進口來源，并填寫機器地址和TCP年底進口的原則，激活操作，很快就會發(fā)現(xiàn)一個政策系統(tǒng)運行緩慢。對于入侵的作用并不明顯，可本機的原理是不開放給填寫的TCP端進口可能是防火墻拒絕的那一刻方進口的訪問，可以選擇答應(yīng)訪問的TCP端進口，普通Windows系統(tǒng)打開tcp139年底進口UNIX系統(tǒng)開放tcp7，21，23和進口的另一端。

檢測到的SYN入侵

檢測的SYN侵入非常方便，當(dāng)你服務(wù)的半收斂的情況下，令人吃驚的是源IP地址是隨機的，基本上可以判定這是一個SYN入侵。我們使用的系統(tǒng)，用netstat的事情來檢測的SYN入侵：

收斂的的SYN_RECV情況（在WINDOWS系統(tǒng)中是SYN_RECEIVED情況），源IP地址是隨機的，標(biāo)有IP欺騙的SYN入侵。

我們還直接檢查收斂排名在Linux環(huán)境下月底可以受到以下說明的進口數(shù)量的條目：

324顯示TCP高檔進口數(shù)量22沒有收斂，當(dāng)然，遠遠超過了系統(tǒng)限制少，但它應(yīng)該上升到管理員重點。

五時，SYN入侵的準(zhǔn)備技巧

我們討論相比，早在SYN入侵的準(zhǔn)備技能。概括地說，前兩類，一個是保護，如防火墻，路由器，網(wǎng)關(guān)過濾，和其他的TCP / IP協(xié)議棧已加強準(zhǔn)備，但它必須是明確和SYN的侵略不能完全阻塞，我們真的可以減輕的SYN入侵的破壞，除非從頭TCP協(xié)議的描繪。

1，過濾網(wǎng)關(guān)防護

這里，過濾網(wǎng)關(guān)指定防火墻，路由器，當(dāng)然也可以成為過濾網(wǎng)關(guān)。防火墻網(wǎng)絡(luò)，在一個陌生的安排，準(zhǔn)備外國非法入侵，并防止機密信息泄漏，它是客戶端和服務(wù)之間，將它應(yīng)用到保護SYN侵入能夠起到很好的作用。主過濾網(wǎng)關(guān)防護罩超時設(shè)置的SYN網(wǎng)關(guān)和SYN代理三種。

·網(wǎng)關(guān)超時設(shè)置：

防火墻設(shè)置SYN轉(zhuǎn)發(fā)超時參數(shù)（檢測防火墻的情況可以在位置內(nèi)設(shè)置），這個參數(shù)是遠遠超過服務(wù)工作超時。當(dāng)客戶端發(fā)送一個SYN包，服務(wù)發(fā)送承認(rèn)包（SYN + ACK包），防火墻如果在計數(shù)器到期沒有收到客戶端的確認(rèn)包（ACK），則發(fā)送RST包，以控制服務(wù)，這樣的服務(wù)被刪除從半收斂的行列。值得關(guān)注的是，網(wǎng)關(guān)超時參數(shù)設(shè)置不能太小，它是不是過大，過小會影響正常通信的超時參數(shù)設(shè)置，設(shè)置過大，會影響準(zhǔn)備的SYN侵入的作用，必須根據(jù)網(wǎng)絡(luò)的使用環(huán)境來設(shè)置此參數(shù)。

的SYN網(wǎng)關(guān)：

的SYN網(wǎng)關(guān)收到客戶端的SYN數(shù)據(jù)包被轉(zhuǎn)發(fā)的直接控制的服務(wù);的SYN網(wǎng)關(guān)收到的SYN / ACK數(shù)據(jù)包，轉(zhuǎn)發(fā)給客戶端的數(shù)據(jù)包后控制的服務(wù)，并還以服務(wù)代表客戶端的頭發(fā)設(shè)備的ACK確認(rèn)包。服務(wù)由半收斂的情況下，目前進入收斂狀態(tài)。當(dāng)客戶端確認(rèn)包到達時，如果數(shù)據(jù)被轉(zhuǎn)發(fā)，否則丟棄。事實上，除了維持半收斂隊伍服務(wù)，但也有一個收斂的行列，如果的SYN攻擊入侵，將連接附加數(shù)的行列，但普通服務(wù)的數(shù)量可接受的融合是遠遠超過一半的銜接，因此，這種方法可以減少土地服務(wù)​​的入侵。

·SYN代理：

當(dāng)客戶端SYN包到達過濾網(wǎng)關(guān)時，SYN代理并不轉(zhuǎn)發(fā)SYN包，而是為主動的名字在回復(fù)客戶端的SYN / ACK包，如果收到客戶的ACK包，表明這是一種正常訪問。目前防火墻服務(wù)設(shè)備發(fā)送一個ACK包和三次握手結(jié)束。取代了SYN代理事實上，服務(wù)的設(shè)備處置的SYN入侵承認(rèn)在網(wǎng)關(guān)過濾器本身具有很強的防備的SYN以入侵。

2，加固TCP / IP協(xié)議棧

準(zhǔn)備的SYN侵入另一個主要技能是調(diào)整TCP / IP協(xié)議棧，TCP協(xié)議的最終解決。將SynAttackProtect維護機制，SYN Cookie的技能的主要途徑，并稱最銜接和縮短超時工作。 TCP / IP協(xié)議棧的調(diào)整給上升到一定的作用有限，管理員應(yīng)該豐富要求各地和測試，這項工作的前提

將SynAttackProtect機制

要準(zhǔn)備的SYN入侵Windows 2000系統(tǒng)，TCP / IP協(xié)議棧嵌入將SynAttackProtect機制，Win2003的系統(tǒng)也可以使用這種機制。將SynAttackProtect機制，關(guān)閉某些socket選項后添加的名義趨同的方向和減少超時工作，使系統(tǒng)可以處理更多的SYN銜接，達成意向的SYN入侵防范。默許，Windows 2000操作系統(tǒng)不維持將SynAttackProtect維護機制，將SynAttackProtect注冊表中的需求，添加以下位置：

SynAttackProtect值（如驚訝地澄清，這篇文章中涉及到的注冊表鍵值為十六進制）為0或不設(shè)置，該系統(tǒng)是將SynAttackProtect維護。

1:00后的轉(zhuǎn)播數(shù)量的減少和延遲SynAttackProtect值系統(tǒng)沒有收斂的路由緩沖（路由緩存項）準(zhǔn)備的SYN入侵。

SynAttackProtect值2:00（微軟轉(zhuǎn)介使用此值），該系統(tǒng)不僅利用積壓隊伍，并使用額外的半收斂指標(biāo)，以處理更多的SYN收斂，使用此鍵TCP / IP的TCPInitialRTT窗口大小和滑動窗口的進口將被停止。

我們應(yīng)該知道，通常情況下，系統(tǒng)沒有啟用將SynAttackProtect機制，只能檢測到的SYN入侵，只有啟用和調(diào)整TCP / IP協(xié)議棧。那么系統(tǒng)是如何檢測入侵攻擊的SYN它呢？事實上，按照系統(tǒng)發(fā)生TcpMaxHalfOpen，TcpMaxHalfOpenRetried，并TcpMaxPortsExhausted三個參數(shù)區(qū)分是否遭受的SYN入侵。

TcpMaxHalfOpen明顯也可以處理的最收斂的數(shù)量，如果超出此值，系統(tǒng)在SYN是入侵。 Windows2000服務(wù)器的默認(rèn)值為100，Windows2000的高級服務(wù)器500。

TcpMaxHalfOpenRetried定義的半收斂的積壓和轉(zhuǎn)播過的行列中儲存的電話號碼，如果超出此值，系統(tǒng)主動推出將SynAttackProtect機制。 Windows2000服務(wù)器的默認(rèn)值為80，Windows2000的高級服務(wù)器400。

TcpMaxPortsExhausted是指系統(tǒng)拒絕的SYN請求的數(shù)據(jù)包數(shù)量，默認(rèn)是5。

如果你想調(diào)整以上參數(shù)值的默許，可以固定在注冊表中（方位和將SynAttackProtect）

·的SYN cookies是技能

我們知道，TCP協(xié)議比喻一個大的內(nèi)存空間的開拓積壓行列存儲進入半收斂，當(dāng)SYN懇求添加，這個空間，導(dǎo)致系統(tǒng)丟失的SYN收斂。半收斂行列，充滿與服務(wù)的設(shè)備仍然可以處理新的SYN懇求，SYN cookies是被描繪的技能。

在Linux，F(xiàn)reeBSD和其他操作系統(tǒng)，半收斂的充分SYNcookies的行列時不會丟失的SYN懇求，但加密技術(shù)的SYN cookies用于識別的半收斂的情況。

TCP的SYN請求收到客戶端時結(jié)束，設(shè)備回復(fù)SYN + ACK包到客戶服務(wù)的需要，客戶應(yīng)承認(rèn)包發(fā)送服務(wù)設(shè)備。普通，服務(wù)設(shè)備服務(wù)的某些規(guī)則的會計，以獲得或使用的隨機數(shù)，的SYN cookies的初始序列編號，服務(wù)的初始序列編號的客戶端的IP地址，在客戶端的端點進口，服務(wù)的要素IP地址和服務(wù)進口方和其他哈希計算的安全值，加密得到餅干。服務(wù)設(shè)備遭受SYN的入侵使積壓的隊伍全，發(fā)球不拒絕在新的SYN懇求，但是，餅干的答復(fù)數(shù)據(jù)包的SYN序列號碼到客戶端的答復(fù)，如果客戶端的ACK包被收到，服務(wù)客戶ACK序列號減去1，cookie的無與倫比的價值，而這些元素哈希操作的結(jié)束，如果你可以在這里的cookie。平直接到三路握手結(jié)束（注意：目前并沒有檢查這種融合是否應(yīng)占積壓隊伍）。

RedHat Linux上的SYN Cookie的啟用結(jié)束設(shè)置在發(fā)射環(huán)境，下面的命令：

·添加收斂最

的SYN懇求產(chǎn)生不銜接的行列填充，正常的TCP收斂不能成功來結(jié)束的三路握手，增加后沒有鏈接與空間的行列，可以緩解這種壓力。當(dāng)然，積壓的行列，占用大量內(nèi)存資源的需求不能無限期擴大。

Windows2000的：除了上述介紹的發(fā)生，如果TcpMaxHalfOpen，TcpMaxHalfOpenRetried參數(shù)，一套動態(tài)積壓（動態(tài)積壓）增加包容性的系統(tǒng)，可最有可能收斂到設(shè)備動態(tài)積壓漁農(nóng)處后，在Windows 2000操作系統(tǒng)。 SYS驅(qū)動端是AFD.SYS是一種內(nèi)核級驅(qū)動程序，用于維持程序的窗口插座使用，例如，F(xiàn)TP，TELNET，等。 AFD.SYS在注冊表的方向：

HKLMSystemCurrentControlSetServicesAFDParametersEnableDynamicBacklog值是1，標(biāo)記，使動態(tài)的積壓，并且可以修復(fù)大部分?jǐn)?shù)的收斂。

MinimumDynamicBacklog半收斂的行列，標(biāo)志著一個TCP年底銜接為此進口最低分配，休閑時，積壓的行列休閑銜接的TCP年底進口小于這個臨界值時，系統(tǒng)進口的倡議，使擴大休閑收斂（DynamicBacklogGrowthDelta）微軟轉(zhuǎn)介值20。

活動MaximumDynamicBacklog半的時間和休閑收斂，收斂和超越某一臨界值時，系統(tǒng)拒絕的SYN包，微軟轉(zhuǎn)診MaximumDynamicBacklog價值不得超過2000。

是指休閑收斂擴張DynamicBacklogGrowthDelta價值，這種融合數(shù)量不占MaximumDynamicBacklog，系統(tǒng)主動分配休閑DynamicBacklogGrowthDelta收斂空間的定義，當(dāng)休閑的一面進口分配的行列半收斂一個TCP收斂是比MinimumDynamicBacklog啟用了TCP年底進口，可以處理更多的半收斂少。微軟轉(zhuǎn)介值10。

Linux操作系統(tǒng)：Linux的最具包容性的收斂數(shù)量積壓行列的變量tcp_max_syn_backlog定義。的Redhat 7.3，值的變量默認(rèn)為256，這個值是不夠的，時間的SYN入侵強度就能使充滿行列的半收斂。我們解決這個變量的值可以受到以下說明：

Sun Solaris上的Sun Solaris變量tcp_conn_req_max_q0的劃定最有可能收斂add命令改變這個值后，Sun公司的Solaris 8，默許價值1024：

HP-UX的HP-UX的變量tcp_syn_rcvd_max劃定的HP-UX 11.00的最收斂的數(shù)量，價值500默許默許價值NDD指令后的變化是：

·縮短超時工作

上面說的，后提高排名的SYN入侵準(zhǔn)備的積壓;其他削減加班，使系統(tǒng)處理更多的SYN懇求。 ，超時時間的努力，我們知道，半收斂的生存努力，是系統(tǒng)所有重傳超時等待工作的總和，這個值越大占領(lǐng)積壓，工作半收斂的行列更長的時間，該系統(tǒng)可以處理的SYN懇求少。為了縮短超時工作可以縮短轉(zhuǎn)播時間的努力（普通的第一次重傳超時工作）和轉(zhuǎn)播數(shù)量削減到最后。

Windows2000的第一次重傳等待的東西之前，默認(rèn)為3秒這一修正后的網(wǎng)絡(luò)接入進口的的注冊表TcpInitialRtt注冊到年底的價值隱含價值變化。定義數(shù)轉(zhuǎn)播TcpMaxConnectResponseRetransmissions的注冊表方向：

當(dāng)然，我們也可以把轉(zhuǎn)播的數(shù)量設(shè)置為0，所以服務(wù)設(shè)備沒有收到在三秒鐘內(nèi)ACK承認(rèn)收斂項方案，采取主動從積壓的行列中刪除。

Linux操作系統(tǒng)：的Redhat使用變量tcp_synack_ret​​ries重傳次數(shù)的定義，與他們的默許下，值是5，總時間的努力，需要三分鐘。

Sun Solaris上的轉(zhuǎn)播數(shù)量的Solaris默認(rèn)是3倍，總時間為3分鐘后NDD說明解決這些默認(rèn)值的努力。