什么是 SYN 洪水攻击?
SYN 洪水攻击(也称为 TCP SYN 洪水攻击)是一种拒绝服务 (DoS)或分布式拒绝服务 (DDoS)攻击,它向服务器发送大量 SYN 请求,以用开放连接压垮服务器。
SYN 洪水,有时也称为半开攻击,是一种网络层攻击,它用连接请求轰炸服务器而不响应相应的确认。 由此产生的大量开放 TCP 连接会消耗服务器的资源,从本质上挤占合法流量,使得无法打开新的合法连接,并且服务器很难或无法为已经连接的授权用户正常运行。
几乎任何拥有面向公众的网站的组织都容易受到此类攻击。 如果不能快速检测和处理 SYN 洪水,它会迅速淹没服务器,大大减慢服务器响应速度并阻止任何其他连接。 这实际上会使服务器脱机,从而拒绝合法用户提供服务、失去对应用和数据的访问权限或阻止电子商务。 其结果可能包括业务连续性丧失、关键基础设施中断、销售损失或声誉受损。 对于某些组织(例如医疗保健行业的组织)来说,无法访问数据所造成的损失可能会危及生命。
F5 实验室的研究表明,SYN 洪水攻击是每年最常见的容量耗尽 DoS 攻击类型之一。 它们可能与其他类型的攻击结合使用或作为其他类型攻击的烟幕,包括勒索软件攻击或窃取数据或植入恶意软件的行动。
每次客户端-服务器对话都以标准化的三次握手开始。 客户端发送SYN数据包,服务器响应SYN-ACK,TCP连接建立。 在 SYN 洪水攻击中,客户端发送大量 SYN 请求,并且故意从不响应服务器的 SYN-ACK 消息。
这样,服务器就会保持打开的连接,等待来自客户端的进一步通信。 每个都在服务器的 TCP 连接表中进行跟踪,最终填满该表并阻止来自任何来源的任何连接尝试。 导致业务连续性和数据访问丧失。
SYN 洪水攻击通常由从欺骗性 IP 地址连接的机器人执行,以使攻击更难识别和缓解攻击。 僵尸网络可以发起 SYN 洪水攻击作为分布式拒绝服务 (DDoS) 攻击。
F5 DDoS 防护解决方案有助于确保针对网络的攻击不会破坏(更糟的是关闭)您的服务器和应用层,从而拒绝您的客户。 我们的解决方案可以识别可能正在发生的 SYN 洪水攻击,并采取防御措施进行缓解以保护连接表,同时允许合法连接访问受保护的网络。 通过这种类型的防御,攻击者的 SYN 请求会得到响应,因此他们认为攻击正在起作用,但连接表永远不会达到容量,因为只有有效的连接请求才会在连接表中保留位置。
