SYN Flood是互联网上最原始、最经典的DDoS(Distributed Denial of Service)攻击之一。它利用了TCP协议的三次握手机制,攻击者通常利用工具还是控制僵尸主机向服务器发送海量的变源IP地址或变源端口的TCP SYN报文,服务器响应了这些报文后就会生成大量的半连接,当系统资源被耗尽后,服务器将没法提供正常的服务。
通过增加服务器性能,提供更多的连接能力对SYN Flood的海量报文来讲无济于事,防御SYN Flood的关键在于判断哪些连接要求来自于真实源,屏蔽非真实源的要求以保障正常的业务要求能得到服务。
自带不要钱防护的美国服务器租用推荐:http://www.guigege.cn/
如何辨认和防御SYN Flood?
SYN Flood的目的是占满服务器的连接数,消耗服务器的系统资源。对服务器本身来讲,最直接的做法就是提高服务能力,比如组建集群,升级硬件。但是这类方式本钱巨大,且对海量的攻击报文来讲,并没有太大的作用,仅多撑几分钟乃至几秒而已。
所以,一定要在这些攻击报文到达服务器之前就进行拦截。但是对防火墙这类安全装备而言,SYN报文是正常的业务报文,防火墙的
安全
策略
一定要允许其通过,否则服务器就没法对外提供服务。如果能明确虚假源的IP地址,就可以通过精细的安全策略禁止这些源发来的SYN报文。但是管理员没法预知哪些是虚假源。即便能分析出虚假源,也没法做到快速、自动地配置或取消安全策略来应对不可预期的攻击流量。
此时就需要Anti-DDoS系统的能力了,它部署在网络入口处,在服务器之前处理SYN报文,辨认出虚假源,屏蔽来自这些地址的报文,只将合法的SYN报文传递给服务器。Anti-DDoS系统处理SYN报文主要有两种手段,源认证和首包抛弃。
目前在针对
SYN Flood方面除阿里云、华为云这些大厂以外,很多做国际业务的国外公司也推出了针对性的解决方案,例如桂哥网络的美国机房就为所有的旗下 美国服务器 提供前置的SYN Flood抗攻击防火墙,另外即便是一般非专业高防服务器也自带10GB的防护,对
SYN Flood攻击频发的美国服务器来讲基本能够满足防护需求,目前 美国服务器 可以提供不要钱试用服务器,有需求的用户可以点击下方入口【申请不要钱试用】资历,年付还有专属折扣
