syn flood攻击的电脑如何防护

syn 弗洛德，又称洪水攻击，属于地斗史中的一种阻断服务攻击，原理很简单，当用户访问服务器时，会完成三次握手，第一次建立连接客户端发送 sym 包到服务器，当服务器接收到 swn 包时，会向客户端发送 acc， 同时发送自己的一个 sym 包。最后客户 收到服务器发来的 suv 包，同时需要用户再次发送一个确认的 acc 请求。再通俗一点，比如你是客户端商店，老板是服务器，这个时候你去买一瓶肥宅快乐水，当你拿起快乐水问老板这个是快乐水吗？这个请求就属于 s 弯包，老板听到了就会告诉你，对， 这个是快乐水。按道理来说，现在你需要去买单了，可是你偏偏就是不结账，那老板就会一直花精力在你身上。而 sym 洪水攻击就是利用这点不断的向服务器发送请求包，唯独卡在最后一步，以此来消耗服务器资源。

上次握手四字挥手清楚之后，还有一个知识点我们需要掌握，就是客户端服务端在建立连接和断开连接的时候会有几种状态，首先服务端采取我们会调用一个立声方法，当立声方法被执行之后，服务端就会进入一个立声状态，也就是监听状态， 等待客户端连接他。这时候当客户端执行卡那个的方法进行连接的时候，首先就会发送 s 八 n 握手包，发完这个握手包之后，客户端会立马进入一个状态，叫 s 翻身的状态，然后等待服务端发过来的 s 八 n 和 s k， 这个状态就表示客户端的 s 八 n 已经发给服务端了。 接着服务端收到 cob 端的 sv 之后，就会回一个 svsk， 服务端回完 svsk 之后，他就会立马进入另外一个状态，叫 svrcvd。 一旦服务端进入了这个状态，就表示有客户端进来了，并且服务端已经回了一个 svsk， 这个状态很短暂，当他收到 过不断的下一次 aj 之后，就会立马切换。以后我们选定的克数时候会学到一个命令叫 lady state， 用这个命令就可以看到 tcp 的连接状态，我们用这个命令查看的时候，一般都不容易看到 svrcvd， 但是如果我们遇到了不断长时间处于这个状态， 那我们就很有可能遇到了，也是发现洪水攻击就是攻击者模拟大量的假客户端对我们的服务端发请求，把服务端资源占满了，导致正常的客户端进不来， 这句叫 s 弯。洪水攻击大概原理就是攻击者用大量的假 ip 地址发请求，发完请求他就没了，然后切换 ib 继续发。也有人把这样的请求正视为半年级请求， 因为客户端发完就没了，连接只建立了一半，但这时候服务端还以为这些是正常用户，还在给他们发 sbsak， 但对方根本收不到，也不会收，所以服务端就会一直处于这个状态。当服务端一直没有收到客户端确认包的时候，就会重新发 sak， 直到超时才会把这个 连接删掉。不过虽然有超时时间，但大量的半年前请求也会耗费服务器很多的资源跟时间，导致正常用户不能访问，这属于网络安全相关的了。如果后面要开网络安全系列课程的话，我们再来详细讲解。

企业外网的福气经常会受到拒绝服务攻击，什么是拒绝服务攻击呢？又应该如何来防范这种攻击，保护企业的网络安全呢？拒绝服务攻击是指攻击者 伪造大量的原地址，或者是控制大量的肉剂向目标福气发出访问，从而耗尽福气的系统资源或者是贷款资源，使其不能提供正常的网络服务。 syn follow 的是当前最常见的一种拒绝服务攻击，他是利用了 tct 协议的本身缺陷， 发送大量伪造的 tcp 连接请求。我们在看你系统中模拟一下他的攻击过程，看你是给予迪贝尔利纽克斯的系统， 它里面集成了大量的渗透测试工具，可以用于企业或机构内部自查网络安全漏洞，但是不能用于非法目的。我们的模拟是在自建的环境中进行的封闭测试， 在刊里的中端宽横中使用这个命令 hp 三， 然后杠地，指明它的负载是幺二零零，过自己杠 s 只发动 tcp 的连接。 syn 同步标志位等于一杠屁，指明的是端口是二十一号端口。我这一个服务器，他打开了一个 ftp 服务，真听的端口是二十一，你注意目前他的一个 cpu 利用率一 以及他的网络利用率都是零。然后攻击方式是 follow 的泛红攻击，注意使用的原地址是随机的原，也就是他会伪造好的原地址啊，不是他本身的地址。 然后攻击的对象是幺零点幺幺八点零点幺五，也就是这台服务器，我们现在进行模拟攻击，接下来你再来看一下这个服务器 有什么变化，注意，他本地链接的利用率已经是百分之九十九。看一下性能这块，哎，我点不了这个性能了，他已经卡住了， 所以我们在这停止攻击。再来看一下 cpu 的使用记录，我这个 cpu 呢，是由四号的一个 cpu， 你注意到这一边的利用率瞬间已经达到峰值了，网络贷宽的利用率刚才也达到了峰值，这是因为我们的刊里他发送了好多 tcp 的连接请求，也就是 syrmv 等于一的数据包， 福气收到以后他会进行应答， syn 的 ack， 你注意应答的原地址是随机的，没有任何一个主机会对应答进行响应， 也就是这个时候，福气的 ttp 链接处于半开的状态，因为瞬间发送了好多这样的链接，所以呢，他的一个 ttp 连接数量马上就达到峰值。之后，他的 cpu 利用率，贷款的利用率都有了明显的提高。 那么 udp 服务也有相应的法律的攻击概念。与 tcp 类似， u d p 的服务对于贷宽的占用是非常非常高的，采用同样的方式啊，这里边指定的服务 u d p， 然后指明一个 u d p 的端口是六八。你要注意 udp 的发漏的攻击，你需要清楚的知道对方的一个端口，因为我们不知道他这个服务器开启了哪几个 udp 服务，但是一般的都使用波特 t 这种服务就是 dhcp 的，可令他 他真听的端口号是六十八。所以在这里面呢，我们就对这个端口进行同样的 follow 的工作， 然后使用随机的远还是攻击这个地址。然后你再来看一下啊，他的一个带宽利用率现在变成百分之九十九了，这边也显示带宽的利用率达到了峰值。 怎么着来防范 tcp 的 syn 泛红公鸡呢？它的一个基本的思想就是在防护墙或者是入侵检测系统上建立相应的安全策略。 比如说这个防火墙，我新建相应的安全策略的时候，这有一个内容，安全里面有一个入侵检测，你给他选上，比如说我们看一下他默认的一个入侵检测控制方式，他里面就有好多拒绝 服务攻击的检测方式，他预定义的入侵检测可以将处于半开状态的 tcp 连接全部关掉， 那对于优地皮的一个攻击，优地皮它是没有状态信息的。这个时候呢，我们可以打开相应的安全防护， 他可以对 udp 的报文进行主动的统计和学习，分析某个特定主题发送 udp 报文的特征和规律。而比如说在某一个时间内， 一台主机发送了大量的相同的或相似的，或者是以某种特征的规律变化的 udp 报文，就认为他是攻击者，就会被加入黑名 名单，这是基本的拒绝服务攻击的防范思路。我后面会分享更多的网络安全知识和项目案例，欢迎大家留言交流。

什么是 s y n 泛红攻击？ s y n 泛红攻击呢，指的是攻击者啊，利用 t c p 的三次握手，建立安全可靠连接这样的机制发起的攻击。我们知道啊， t c p 的三次握手呢，首先由客户端向服气端发起一个 s y n 消息 请求，然后呢再由服务器端呢回复客户端一个 s u n 加 a c k 消息，最后呢再由客户端呢回复最后一个 a c k 消息， 这样的三次交互过程呢，就叫 tcb 的三次握手。那么攻击者呢，就利用这样的机制，在发送完 syn 之后，对方回复了 syn 加 ask 之后呢，最后一个 ask 啊，就不会再发了，那么导致大量的半连接呢， 在服务器端存在，那么服务器端呢，就要去维护这些半连接，就要消耗非常多的资源，这样呢就没有资源去做别的事了，这样的攻击呢，我们就叫做 svn 泛红攻击，记得关注哦。

你必须知道的十种黑客攻击手段！