何为 SYN 洪水攻击？

SYN 洪水，也称为 TCP SYN 洪水，是一种拒绝服务 (DoS) 或分布式拒绝服务 (DDoS) 攻击，可以向服务器发送大量 SYN 请求，以开放的连接淹没服务器。

SYN 洪水（有时也被称为半开放攻击）是一种网络层攻击，使用连接请求轰炸服务器，而不对相应的确认作出回应。由此产生的大量开放 TCP 连接会消耗服务器的资源，挤占本质合法的流量，使得新的合法连接无法打开，已经连接的授权用户也很难或无法正常使用服务器。

实际上，任何拥有面向公众网站的企业都容易受到这种类型的攻击。如果不迅速检测和处理 SYN 洪水，这种攻击会迅速淹没服务器，使服务器响应速度大幅减慢，并阻止任何其他连接。这可以起到使服务器离线的作用，拒绝服务合法用户，失去对应用和数据的访问或阻止电子交易。其结果可能包括业务连续性的损失、关键基础设施的中断、销售损失或声誉受损。对于一些企业来说（例如医疗保健行业的企业），失去数据访问造成的损害可能会危及生命。

F5 Labs 的研究表明，SYN 洪水是每年最常见的容量 DoS 攻击类型之一，可能会与其他类型的攻击（包括勒索软件攻击或试图窃取数据或植入恶意软件）结合使用或作为障眼法。

每次客户端-服务器间的对话都始于一个标准的三次握手。客户端发送 SYN 数据包，服务器以 SYN-ACK 响应，建立 TCP 连接。在 SYN 洪水攻击中，客户端会发送大量的 SYN 请求，而有意从不响应服务器的 SYN-ACK 报文。

这会使服务器具有开放的连接，会等待客户端的进一步通信，会在服务器的 TCP 连接表中跟踪每个连接，最终填满该表并阻止来自任何来源的更多连接尝试。导致损失业务连续性和数据访问。

SYN 洪水经常由 bot 从伪造的 IP 地址执行连接，以使攻击更难识别和减轻攻击。僵尸网络可采用分布式拒绝服务 (DDoS) 攻击，发起 SYN 洪水攻击。

F5 DDoS 防护解决方案有助于确保针对网络的攻击不会使服务器和应用层陷入瘫痪，或导致更糟糕的停机情况，致使客户流失。我们的解决方案可以识别可能发生的 SYN 洪水攻击，并采取防御措施进行缓解，以保护连接表，同时允许合法连接访问受保护的网络。通过这种类型的防御，攻击者会因 SYN 请求得到响应而误以为攻击有效，但连接表永远不会达到容量上限，因为只有有效的连接请求才会在连接表中占有“一席之地”。