SYN拒绝服务攻击

Question

这可能是一个微不足道的问题。这是关于Syn Cookie的。为什么只有半个开放的连接被认为是DOS攻击。客户端可能会完成握手(SYN、SYN-ACK、ACK)，然后再也不回复。这也会占用系统资源。

那么，如果客户端充斥着(SYN，SYN-ACK，ACK)序列，为什么这不被视为DOS攻击？

Answer 1

所描述的SYN flood attack是Denial of Service attack的一种特定形式。DOS可以采用多种形式，通常与SYN请求无关。

SYN泛洪攻击之所以有效，是因为您可以伪造客户端IP地址。这允许来自同一客户端的大量SYN请求，但是由于SYN-ACK永远不会被接收，因此没有办法发送ACK，并且服务器等待响应，因此使用服务器上的可用连接。发送SYN和ACK的客户端将不会耗尽可用连接。大量无用的攻击(SYN，SYN-ACK，ACK)仍然是DOS攻击，只是不是那么有效。

Answer 2

在SYN泛洪中，客户端不必跟踪状态或完成连接。客户端生成许多具有欺骗IP的SYN数据包，这可以非常快地完成。服务器(不使用SYN cookie时)消耗资源，等待每次连接尝试超时或完成。因此，这是一个非常有效的DoS，它利用了(DoS攻击)客户端与被攻击服务器消耗的资源之比为1:10000。

如果客户端完成了每个连接，则杠杆作用消失-服务器不必再等待，客户端必须开始跟踪状态。因此，我们有1:1而不是1:10000。这里还有一个次要问题--与已建立的连接相比，半开放连接的缓冲区很小(或者说当这种攻击首次发明时)，并且更容易耗尽。

SYN cookies允许服务器在回复SYN数据包后立即忘记连接，直到收到正确序列号的ACK为止。这里，资源使用又变成了1:1

Answer 3

是的，Sockstress是一个老的攻击，从2008年开始，完成TCP握手，然后将窗口大小降低到0(或其他一些较小的值)，在第4层连接，有点类似于SlowLoris第7层攻击。Click Here了解更多关于Sockstress的信息