SYN***原理

SYN***原理

　　SYN***属于DOS***的一种，它利用TCP协议缺陷，经过发送大量的半链接请求，耗费CPU和内存资源。SYN***除了能影响主机外，还能够危害路由器、防火墙等网络系统，事实上SYN***并无论目标是什么系统，只要这些系统打开TCP服务就能够实施。服务器接收到链接请求（syn=j），将此信息加入未链接队列，并发送请求包给客户（syn=k,ack=j+1），此时进入SYN_RECV状态。当服务器未收到客户端的确认包时，重发请求包，一直到超时，才将此条目从未链接队列删除。配合IP欺骗，SYN***能达到很好的效果，一般，客户端在短期内伪造大量不存在的IP地址，向服务器不断地发送syn包，服务器回复确认包，并等待客户的确认，因为源地址是不存在的，服务器须要不断的重发直至超时，这些伪造的SYN包将长时间占用未链接队列，正常的SYN请求被丢弃，目标系统运行缓慢，严重者引发网络堵塞甚至系统瘫痪。SYN***实现起来很是的简单，互联网上有大量现成的SYN***工具。

　　那么如何防范SYN***呢？概括起来，主要有两大类，一类是经过防火墙、路由器等过滤网关防御，另外一类是经过加固TCP/IP协议栈防范.但必须清楚的是，SYN***不能彻底被阻止，咱们所作的是尽量的减轻SYN***的危害。