SYN Flooding是一种常见的网络攻击方式，属于拒绝服务攻击（DoS）的一种，其攻击原理主要是利用了TCP协议的三次握手过程，以下是具体介绍：

TCP三次握手正常流程

• 第一次握手：客户端向服务器发送一个SYN（Synchronize Sequence Numbers）包，其中包含客户端的初始序列号（Sequence Number），表示客户端请求与服务器建立连接。
• 第二次握手：服务器接收到客户端的SYN包后，会向客户端发送一个SYN+ACK包，其中包含服务器的初始序列号以及对客户端序列号的确认号（Acknowledgment Number），表示服务器同意与客户端建立连接。
• 第三次握手：客户端接收到服务器的SYN+ACK包后，会向服务器发送一个ACK包，对服务器的序列号进行确认，至此连接建立成功，双方可以开始进行数据传输。

SYN Flooding攻击过程

• 大量伪造SYN请求：攻击者通过控制大量的僵尸主机或利用特殊工具，向目标服务器发送海量的SYN包，这些SYN包的源IP地址通常是伪造的，可能是随机的IP地址，也可能是网络中其他正常主机的IP地址。
• 服务器资源耗尽：服务器接收到这些SYN包后，会为每个请求分配一定的资源，如内存空间、进程或线程等，并按照TCP协议的规定，为每个连接请求创建一个半连接状态，等待客户端发送ACK包完成连接建立。由于攻击者发送的SYN包数量巨大，且源IP地址是伪造的，服务器无法收到对应的ACK包来完成连接，导致服务器上的半连接队列被大量占用。当半连接队列满后，服务器将无法再处理其他正常的连接请求，新的连接请求会被丢弃，从而使服务器无法为正常用户提供服务，造成拒绝服务的效果。

利用的TCP协议特性及服务器机制弱点

• TCP协议的连接建立机制：TCP协议为了保证连接的可靠性，设计了三次握手的连接建立过程，但这也给了攻击者可乘之机。攻击者可以利用大量伪造的SYN请求来占用服务器的连接资源，而无需完成完整的连接过程。
• 服务器的资源分配和管理机制：服务器在处理连接请求时，需要为每个请求分配一定的资源来维护连接状态。然而，服务器的资源是有限的，当大量的半连接占用了服务器的资源时，服务器无法及时处理正常的连接请求，导致服务不可用。