教材学习内容

pqwsa

　　SYN flood攻击
　　SYN flood攻击是DoS攻击的一种形式，攻击者向被攻击主机的TCP端口大量发送SYN请求包，但不去完成TCP的”三次握手”的过程，例如攻击使用一个假的IP地址，或只是简单地不再继续建立TCP连接的过程，这都使被攻击主机处于”半连接”状态(即在”三次握手”过程中，有了前两次握手，SYN包和SYN-ACK包的传输，但没有最后一次ACK包的确认)。被攻击主机的主机会使用一个队列来保存这种半连接的状态，当这个队列存储空间满了的时候，目标主机便无法再接受任何其它连接。这一队列的空间大小事实上是一个系统变量，在Linux中，可以这样查看它的大小:sysctl -q net.ipv4.tcp_max syn backlog。我们还可以使用netstat -na令去检查队列的使用情况。处于半连接的连接状态被标示为”SYN-RECV"，完成了”三次握手”的连接被标示为”STABLISHED".
　　SYN Cookie保护机制:如果攻击看起来并不成功，可以检查一下目标主机的SYNCookie机制是否被开启。SYN cookie是针对SYN flood攻击的一种保护机制。这一机制会在探测到SYN flood攻击时开始生效。可以使用sysctl命令去打开或关闭这一机制:sysctl -a I grep cookie(查看SYN cookie的当前状态)``````sysctl -w net.ipv4.tcp_ syncookies=0(关闭SYN cookie)``````sysctl -w net.ipv4.tcp_ syncookies=1(打开SYN cookie)