syn攻击防御方法？

syn攻击利用TCP协议的缺陷，通过发送大量的半连接请求，耗费CPU和内存资源。

syn flood防御方法：SYN cookie/proxy

syn cookie 它的防御对象是syn flood，类别是：DOS攻击方式的防范手段，防范原理：修改TCP服务器端的三次握手协议

syn cookie 是对TCP服务器端的三次握手协议做了一些修改，专门用来防范SYN Flood 攻击的手段。

它的原理是：在TCP服务器收到TCP syn包并返回TCP SYN+ACK包时，不分配一个专门的数据区，而是根据这个SYN包计算出一个cookie值，在收到TCP ACK包时，TCP 服务器在根据那个cookie值检查这个TCP ACK包的合法性。如果合法，再分配专门的数据区进行处理未来的TCP连接。

其实最常用的一个手段就是优化主机系统设置。比如降低SYN timeout时间，使得主机尽快释放半连接的占用或者采用SYN cookie设置，如果短时间内收到了某个IP的重复SYN请求，我们就认为受到了攻击。

另外合理的采用防火墙设置等外部网络也可以进行拦截。