攻击与威胁
SYN 洪水攻击
定义
基于 TCP 的拒绝服务攻击,通过大量发送未完成三次握手的 SYN 包,耗尽目标的连接状态资源。
在 SYN 洪水中,攻击者发起大量 TCP 连接却始终不完成握手。每个伪造或未应答的 SYN 都会迫使服务器在 backlog 队列中分配一条半开连接,并回送 SYN/ACK 等待最后的 ACK。当队列填满时,服务器便拒绝新的合法连接。SYN 洪水可以来自单一主机,但更常见的是僵尸网络,且通常伪造源 IP 以增加过滤难度。常见缓解措施包括 SYN cookies(无需为半开连接保存状态)、扩大或动态调整 SYN 队列、在防火墙和负载均衡器上做连接速率限制、在网络边缘进行无状态过滤,以及上游 DDoS 清洗。
示例
- 僵尸网络每秒向 Web 服务器发送数百万个伪造 SYN 包,塞满其 TCP backlog。
- 小规模攻击者利用旧设备未启用 SYN cookies 的弱点,使其连接表崩溃。
相关术语
拒绝服务攻击 (DoS)
通过耗尽系统的带宽、算力、内存或应用层资源,使合法用户无法访问服务的攻击。
分布式拒绝服务攻击 (DDoS)
由大量分布式来源同时发起的拒绝服务攻击,通常借助僵尸网络,旨在压垮目标的带宽、基础设施或应用。
DDoS 放大攻击
利用 UDP 服务对伪造请求返回远大于请求的应答,使小规模攻击者也能制造巨大的洪水流量的 DDoS 技术。
LAND 攻击
构造源 IP 和端口与目的相同的伪造 TCP SYN 数据包,使易受影响的系统陷入死循环或崩溃的早期 DoS 攻击。
死亡之 Ping (Ping of Death)
一种历史性 DoS 攻击,通过发送畸形或超大的 ICMP echo 数据包,使存在缺陷的 TCP/IP 协议栈在重组时崩溃、挂起或重启。
IP 欺骗
伪造网络数据包的源 IP 地址,以冒充其他主机、绕过过滤或放大拒绝服务攻击。