SYN Flood是互聯(lián)網(wǎng)上最原始、最經(jīng)典的DDoS（Distributed Denial of Service）攻擊之一。它利用了TCP協(xié)議的三次握手機(jī)制，攻擊者通常利用工具或者控制僵尸主機(jī)向服務(wù)器發(fā)送海量的變?cè)碔P地址或變?cè)炊丝诘腡CP SYN報(bào)文，服務(wù)器響應(yīng)了這些報(bào)文后就會(huì)生成大量的半連接，當(dāng)系統(tǒng)資源被耗盡后，服務(wù)器將無(wú)法提供正常的服務(wù)。通過(guò)增加服務(wù)器性能，提供更多的連接能力對(duì)于SYN Flood的海量報(bào)文來(lái)說(shuō)杯水車薪，防御SYN Flood的關(guān)鍵在于判斷哪些連接請(qǐng)求來(lái)自于真實(shí)源，屏蔽非真實(shí)源的請(qǐng)求以保障正常的業(yè)務(wù)請(qǐng)求能得到服務(wù)。

自帶免費(fèi)防護(hù)的美國(guó)服務(wù)器租用推薦：http://m.meosex.com/dedicated/usa.shtml

如何識(shí)別和防御SYN Flood？

SYN Flood的目的是占滿服務(wù)器的連接數(shù)，消耗服務(wù)器的系統(tǒng)資源。對(duì)于服務(wù)器自身來(lái)說(shuō)，最直接的做法就是提高服務(wù)能力，比如組建集群，升級(jí)硬件。但是這種方式成本巨大，且對(duì)于海量的攻擊報(bào)文來(lái)說(shuō)，并沒(méi)有太大的作用，僅多撐幾分鐘甚至幾秒而已。

所以，必須在這些攻擊報(bào)文到達(dá)服務(wù)器之前就進(jìn)行攔截。然而對(duì)于防火墻這類安全設(shè)備而言，SYN報(bào)文是正常的業(yè)務(wù)報(bào)文，防火墻的安全策略必須允許其通過(guò)，否則服務(wù)器就無(wú)法對(duì)外提供服務(wù)。如果能明確虛假源的IP地址，就能通過(guò)精細(xì)的安全策略阻止這些源發(fā)來(lái)的SYN報(bào)文。但是管理員無(wú)法預(yù)知哪些是虛假源。即使能分析出虛假源，也無(wú)法做到快速、自動(dòng)地配置或取消安全策略來(lái)應(yīng)對(duì)不可預(yù)期的攻擊流量。

此時(shí)就需要Anti-DDoS系統(tǒng)的能力了，它部署在網(wǎng)絡(luò)入口處，在服務(wù)器之前處理SYN報(bào)文，識(shí)別出虛假源，屏蔽來(lái)自這些地址的報(bào)文，只將合法的SYN報(bào)文傳遞給服務(wù)器。Anti-DDoS系統(tǒng)處理SYN報(bào)文主要有兩種手段，源認(rèn)證和首包丟棄。

目前在針對(duì)SYN Flood方面除了阿里云、華為云這些大廠之外，很多做國(guó)際業(yè)務(wù)的海外服務(wù)商也推出了針對(duì)性的解決方案，例如USA-IDC的美國(guó)機(jī)房就為所有的旗下美國(guó)服務(wù)器提供前置的SYN Flood抗攻擊防火墻，此外即使是一般非專業(yè)高防服務(wù)器也自帶10GB的防護(hù)，對(duì)于SYN Flood攻擊頻發(fā)的美國(guó)服務(wù)器來(lái)說(shuō)基本能夠滿足防護(hù)需求，目前美國(guó)服務(wù)器可以提供免費(fèi)試用服務(wù)器，有需求的用戶可以點(diǎn)擊下方入口【申請(qǐng)免費(fèi)試用】資格，年付還有專屬折扣