syn攻击防御方法?
syn攻击利用TCP协议的缺陷,通过发送大量的半连接请求,耗费CPU和内存资源。syn flood防御方法:SYN cookie/proxy
syn cookie 它的防御对象是syn flood,类别是:DOS攻击方式的防范手段,防范原理:修改TCP服务器端的三次握手协议
syn cookie 是对TCP服务器端的三次握手协议做了一些修改,专门用来防范SYN Flood 攻击的手段。
它的原理是:在TCP服务器收到TCP syn包并返回TCP SYN+ACK包时,不分配一个专门的数据区,而是根据这个SYN包计算出一个cookie值,在收到TCP ACK包时,TCP 服务器在根据那个cookie值检查这个TCP ACK包的合法性。如果合法,再分配专门的数据区进行处理未来的TCP连接。
其实最常用的一个手段就是优化主机系统设置。比如降低SYN timeout时间,使得主机尽快释放半连接的占用或者采用SYN cookie设置,如果短时间内收到了某个IP的重复SYN请求,我们就认为受到了攻击。
另外合理的采用防火墙设置等外部网络也可以进行拦截。