高防服务器的流量清洗是如何防御sYnFlood攻击的

　　【小Y 提示】本文源于互联网收集整理，不代表YINGSOO观点！若有咨询“高防服务器的流量清洗是如何防御sYnFlood攻击的”等有关服务器、云主机租用、托管、配置、价格问题，请立即咨询YINGSOO客服，良心推荐,按需选配！

　　【主机推荐】印度尼西亚物理服务器特价 | 新加坡物理服务器特价 | 越南物理服务器特价

　　【优质文章】德国服务器好用吗？德国服务器否适合部署欧洲网游

　　传输控制协议(transmission control protocol，tcp)通过三次握手过程建立连接，三次握手过程如下：

　　1、终端向高防服务器发送一个同步(synchronize，sYn)报文，所述sYn报文会指明终端 使用的端口以及tcp协议连接的初始序号；

　　2、高防服务器在接收到sYn报文后，向终端发送一个与sYn报文对应的同步确认 (synchronize+acknowledgement，sYn+AcK)报文，sYn+AcK报文表示终端的连接请求被接 受，同时tcp协议连接的序号为初始序号自动加1;

　　3、终端向高防服务器发送一个确认AcK报文，同样，tcp协议连接的序号被加1。

　　在三次握手的过程中设置了一些异常处理机制。如果高防服务器没有收到终端发送的 AcK报文，会一直处于等待确认(synchronize Receive，sYn_RecV)状态，并且高防服务器会将终 端的ip信息加入等待列表，高防服务器根据等待列表中记录的终端的ip信息，重新向终端发送 sYn+AcK报文。如果高防服务器还是没有收到终端发送的AcK报文，会继续重新向终端发送sYn+ AcK报文，重新向终端发送sYn+AcK报文的次数一般为3-5次，大约间隔30秒左右轮询一次等 待列表。另一方面，高防服务器在发出了 sYn+AcK报文后，会预先为即将建立的tcp协议连接分配 资源，这个资源在高防服务器处于sYn_RecV状态下时会一直保留。但因为高防服务器资源有限，处于 sYn_RecV状态下时的分配的资源达到一定的阈值后，高防服务器就不再接收新的sYn报文，也就 是拒绝新的tcp协议连接建立。

　　sYn Flood攻击正是利用了上述在三次握手过程中设置的异常处理机制，达到攻 击高防服务器的目的。攻击者伪装大量的ip地址给高防服务器发送sYn报文，由于伪造的ip地址不存 在，也就不会给高防服务器返回AcK报文。因此，高防服务器将会维持一个庞大的等待列表，不停地重 试发送sYn+AcK报文，同时占用着大量的资源无法释放。更为关键的是，被攻击高防服务器处于 sYn_RecV状态下时分配的资源达到一定的阈值后就不再接收新的sYn报文，合法用户无法 完成三次握手建立起tcp协议连接。

　　现有技术中对sYn Flood攻击进行防护的方法主要有以下几种：

　　1.清洗设备收到终端发来的sYn 报文后，先代替高防服务器向终端回应正常的sYn+AcK报文。如果收到终端回应的AcK报文，则认为该tcp协议连接请求通过验证。清洗设备再向高防服务器发送同样的sYn报文，并通过三次握手与高防服务器建立tcp协议连接。方案中清洗设备需要记录会话中每个报文的序号，针对后续终端以及高防服务器之间的报文，清洗设备需要做逐个报文序号修正和重新计算校验和， 防护性能十分低下，并且清洗设备只能串联部署到网络中，局限性很大。

　　2.清洗设备收到终端发来的sYn 报文后，先代替高防服务器向终端回应与sYn报文对应的只是序号错误的sYn+AcK报文。如果收 到终端回应的重置(Reset，Rst)报文，则认为该tcp协议连接请求通过验证。一定时间内，清 洗设备收到终端重发的sYn报文后，直接向高防服务器转发，在终端和高防服务器之间建立tcp协议 连接。tcp协议连接建立后，清洗设备直接转发该终端后续的报文，不对报文进行处理。清洗设备代替高防服务器向终端回应与sYn报文对应的只是序号 错误的sYn+AcK报文，会故意破坏终端与高防服务器的tcp协议连接状态，根据终端协议栈的纠 正能力来识别是否是合法的终端，如果终端合法，需要终端主动重新发起连接，才能与服务 器建立tcp协议连接。但在实际应用中发现，部分终端在被断开tcp协议连接状态后不会主 动再次发送sYn报文，需要用户手动重启，部分无人值守的终端会因此而不能正常工作，导致业务中断，用户体验差，满意度低。

　　3.接收终端发送的sYn报文，判断自身保存的信任列表或限制列表中是否记录有所 述终端的信息；如果信任列表中记录有所述终端的信息，将所述sYn报文转发至高防服务器，如果限制列表中记录有所述终端的信息，丢弃所述sYn报文；否则，丢弃所述sYn报文，向所述终端发送满足特定条件的确认AcK探测报文;判断 是否接收到所述终端发送的重置Rst纠错报文，如果是，在所述信任列表中添加所述终端的信息，如果否，在所述限制列表中添加所述终端的信息。所述满足特定条件的AcK探测报文中的发送序号和确认序号为随机值。清洗设备中保存有信任列表和限制列表，因 此可以针对记录在不同列表中的终端发送的sYn报文进行相应处理，如果终端未记录在上述任一列表中，向终端发送AcK探测报文，AcK探测报文不会破坏所述终端与高防服务器的tcp协议连接状态，另外因为AcK探测报文对于终端为一个异常报文，根据终端是否向清洗设备发 送Rst纠错报文，确定将终端添加到哪个列表中。同时因为接收到的sYn报文被丢弃了，因此无需占用清洗设备的资源，有效提高了清洗设备的处理效率。

　　了解更多关于高防服务器防御sYn Flood攻击参阅：高防服务器如何通过sYn cookie源认证来防御ddos攻击

　　热门产品：美国高防服务器去首页享优惠！YINGSOO最新推出Bzz蜂群挖矿服务器、Bzz蜂群母鸡服务器、Swarm Bzz挖矿教程【图文教程】、Swarm Bzz挖矿教程【视频教程】,《swarm bzz挖矿资料大全》,Bzz节点租用请咨询YINGSOO客服！

版权声明：本站文章来源标注为YINGSOO的内容版权均为本站所有，欢迎引用、转载，请保持原文完整并注明来源及原文链接。禁止复制或仿造本网站，禁止在非www.yingsoo.com所属的服务器上建立镜像，否则将依法追究法律责任。本站部分内容来源于网友推荐、互联网收集整理而来，仅供学习参考，不代表本站立场，如有内容涉嫌侵权，请联系alex-e#qq.com处理。