TCP三次握手
| 建立连接 | 发送或回应 |
|---|---|
| 第一次握手 | 客户端发送报文,标志位为SYN(seq=a) |
| 第二次握手 | 服务器发送报文,标志位为SYN,ACK(seq=b,ack=a+1) |
| 第三次握手 | 客户端回应服务器报文,标志位为ACK(sqq=a+1,ack=b+1) |
确认标志位的作用:在接收到数据后加1,表示已经接收到该数据
SYN洪流
如果在上述过程中,攻击者伪造大量的源IP 地址,分别向服务器端发送大量的SYN 包,此时服务器端会返回SYN/ACK包,因为源地址是伪造的,所以伪造的IP 并不会发送应答包,服务器端没有收到伪造IP的回应,会重试3~5次并且等待一个SYNTime (一般为30秒至2分钟),如果超时则丢弃这个连接。攻击者大量发送这种造源地址的SYN 请求,服务器端将会消耗非常多的资源(CPU和内存)来处理这种半连接,同时还要不断地对这些IP进行SYN+ACK重试最后的结果是服务器无暇理睬正常的连接请求,导致拒绝服务,这就是SYN洪流
SYN洪流就是攻击者在TCP三次握手的过程中,只向服务器发送大量的SYN请求包,在收到服务器的SYN,ACK包后不做回应,而是不断地发送SYN包,这样一来,服务器收不到客户端的回应包,就会建立一个半连接SYNtime,从而消耗服务器的大量资源并且对这些SYN请求包不断地重试,从而导致正常的连接请求被忽略。
