syn洪水攻击web服务器
原理：在服务端返回一个确认的SYN-ACK包的时候有个潜在的弊端，如果发起的客户是一个不存在的客户端，那么服务端就不会接到客户端回应的ACK包。
这时服务端需要耗费一定的数量的系统内存来等待这个未决的连接，直到等待超关闭，才能施放内存。
如果恶意者通过通过ip欺骗，发送大量SYN包给受害者系统，导致服务端存在大量未决的连接并占用大量内存和tcp连接，从而导致正常客户端无法访问服务端，这就是SYN洪水攻击的过程。
简单来说：就是模拟一个个不同的IP地址对服务器进行TCP的连接，导致服务器发送的tcp握手连接中的第2个包没有得到回应，从而使得我们的服务器资源被大量占用。

awl包下载地址
awl参数如下:
-i 发送包的接口,如果省略默认是eth0
-m 指定目标mac地址    注：如果-m没有指定mac，默认目标MAC地址是“FF.FF.FF.FF.FF.FF”，
FF.FF.FF.FF.FF.FF  MAC地址是什么？这表示向同一网段内的所有主机发出ARP广播，进行SYN攻击，还容易使整个局域网瘫痪。
-d 被攻击机器的IP
-p 被攻击机器的端口


实验过程
服务器：192.168.1.63

客户端：192.168.1.64

服务器端：
yum install -y httpd
iptables -F

安装httpd服务



清空防火墙规则



最后的攻击结果：可以看到许多来历不明的IP地址在进行TCP连接，我们的TCP连接处于SYN_RECV状态，就是等待客户端的回复状态



客户端：
tar -zxvf awl-0.2.tar.gz
cd awl-0.2/
./configure && make -j 4 && make install
ping 192.168.1.63
arp -n
iptables -F
awl -i ens33 -m 00:0c:29:37:4f:d5 -p 80 -d 192.1668.1.63
#按下ctrl+c停止

上传并解压



切换到目录下，并安装



获取服务器的IP地址，解析出来MAC地址



清空防火墙规则



开始攻击


注意事项：千万要开启httpd服务，不然你的攻击再猛烈都没用

一：介绍SYN 
二：什么是SYN洪水攻击 
三：什么是SYN cookie 
四：什么是SYN cookie防火墙 
 
C=client(客户器) 
S=Server(服务器) 
FW=Firewall(防火墙) 
 
一：介绍SYN 
SYN cookie是一个防止SYN洪水攻击技术。他由D. J. Bernstein和Eric Schenk发明。现在SYN COOKIE已经是linux内核的一部分了（我插一句，默认的stat是no）,但是在linux系统的执行过程中它只保护linux系统。我们这里只是说创建一个linux防火墙，他可以为整个网络和所有的网络操作系统提供SYN COOKIE保护你可以用这个防火墙来阻断半开放式tcp连接，所以这个受保护的系统不会进入半开放状态(TCP_SYN_RECV)。当连接完全建立的时候，客户机到服务器的连接要通过防火墙来中转完成。
 
二：什么是SYN洪水攻击？（来自CERT的警告） 
当一个系统（我们叫他客户端）尝试和一个提供了服务的系统（服务器）建立TCP连接，C和服务端会交换一系列报文。

这种连接技术广泛的应用在各种TCP连接中，例如telnet,Web,email,等等。

首先是C发送一个SYN报文给服务端，然后这个服务端发送一个SYN-ACK包以回应C，接着，C就返回一个ACK包来实现一次完整的TCP连接。就这样，C到服务端的连接就建立了，这时C和服务端就可以互相交换数据了。下面是上文的图片说明：）
Client Server 
------ ------ 
SYN--------------------> 
<--------------------SYN-ACK 
ACK--------------------> 
Client and server can now 
send service-specific data 
在S返回一个确认的SYN-ACK包的时候有个潜在的弊端，他可能不会接到C回应的ACK包。这个也就是所谓的半开放连接，S需要耗费一定的数量的系统内存来等待这个未决的连接，虽然这个数量是受限的，但是恶意者可以通过创建很多的半开放式连接来发动SYN洪水攻击。
通过ip欺骗可以很容易的实现半开放连接。攻击者发送SYN包给受害者系统，这个看起来是合法的，但事实上所谓的C根本不会回应这个SYN-ACK报文，这意味着受害者将永远不会接到ACK报文。
而此时，半开放连接将最终耗用受害者所有的系统资源，受害者将不能再接收任何其他的请求。通常等待ACK返回包有超时限制，所以半开放 。

连接将最终超时，而受害者系统也会自动修复。虽然这样，但是在受害者系统修复之前，攻击者可以很容易的一直发送虚假的SYN请求包来持续攻击。

在大多数情况下，受害者几乎不能接受任何其他的请求，但是这种攻击不会影响到已经存在的进站或者是出站连接。虽然这样，受害者系统还是可能耗尽系统资源，以导致其他种种问题。
攻击系统的位置几乎是不可确认的，因为SYN包中的源地址多数都是虚假的。当SYN包到达受害者系统的时候，没有办法找到他的真实地址，因为在基于源地址的数据包传输中，源ip过滤是唯一可以验证数据包源的方法。
 
三：什么是SYN cookie？ 
SYN cookie就是用一个cookie来响应TCP SYN请求的TCP实现，根据上面的描述，在正常的TCP实现中，当S接收到一个SYN数据包，他返回一个SYN-ACK包来应答，然后进入TCP-SYN-RECV（半开放连接）状态来等待最后返回的ACK包。S用一个数据空间来描述所有未决的连接，然而这个数据空间的大小是有限的，所以攻击者将塞满这个空间。
在TCP SYN COOKIE的执行过程中，当S接收到一个SYN包的时候，他返回一个SYN-ACK包，这个数据包的ACK序列号是经过加密的，也就是说，它由源地址，端口源次序，目标地址，目标端口和一个加密种子计算得出。然后S释放所有的状态。如果一个ACK包从C返回，S将重新计算它来判断它是不是上个SYN-ACK的返回包。如果这样，S就可以直接进入TCP连接状态并打开连接。这样，S就可以避免守侯半开放连接了。
以上只是SYN COOKIE的基本思路，它在应用过程中仍然有许多技巧。请在前几年的kernel邮件列表查看archive of discussions的相关详细内容。
 
4，什么是SYN COOKIE 防火墙 
SYN COOKIE 防火墙是SYN cookie的一个扩展，SYN cookie是建立在TCP堆栈上的，他为linux操作系统提供保护。SYN cookie防火墙是linux的一大特色，你可以使用一个防火墙来保护你的网络以避免遭受SYN洪水攻击。
下面是SYN cookie防火墙的原理 
client firewall server 
------ ---------- ------ 
1. SYN----------- - - - - - - - - - -> 
2. <------------SYN-ACK(cookie) 
3. ACK----------- - - - - - - - - - -> 
4. - - - - - - -SYN---------------> 
5. <- - - - - - - - - ------------SYN-ACK 
6. - - - - - - -ACK---------------> 
7. -----------> relay the -------> 
<----------- connection <------- 
1:一个SYN包从C发送到S 
2：防火墙在这里扮演了S的角色来回应一个带SYN cookie的SYN-ACK包给C 
3：C发送ACK包，接着防火墙和C的连接就建立了。 
4：防火墙这个时候扮演C的角色发送一个SYN给S 
5：S返回一个SYN给C 
6：防火墙扮演C发送一个ACK确认包给S，这个时候防火墙和S的连接也就建立了 
7：防火墙转发C和S间的数据 
如果系统遭受SYN Flood，那么第三步就不会有，而且无论在防火墙还是S都不会收到相应在第一步的SYN包，所以我们就击退了这次SYN洪水攻击。

SYN-RECEIVED：服务器端状态SYN_RCVD

     

      再收到和发送一个连接请求后等待对方对连接请求的确认

   当服务器收到客户端发送的同步信号时，将标志位ACK和SYN置1发送给客户端，此时服务器端处于SYN_RCVD状态，如果连接成功了就变为ESTABLISHED，正常情况下SYN_RCVD状态非常短暂。
   如果发现有很多SYN_RCVD状态，那你的机器有可能被SYN Flood的DoS(拒绝服务攻击)攻击了。

   SYN Flood的攻击原理是：

   在进行三次握手时，攻击软件向被攻击的服务器发送SYN连接请求（握手的第一步），但是这个地址是伪造的，如攻击软件随机伪造了51.133.163.104、65.158.99.152等等地址。服务器在收到连接请求时将标志位ACK和SYN置1发送给客户端（握手的第二步），但是这些客户端的IP地址都是伪造的，服务器根本找不到客户机，也就是说握手的第三步不可能完成。

    这种情况下服务器端一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度我们称为SYN Timeout，一般来说这个时间是分钟的数量级（大约为30秒-2分钟）；一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源----数以万计的半连接，即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。此时从正常客户的角度看来，服务器失去响应，这种情况我们称做：服务器端受到了SYN
 Flood攻击（SYN洪水攻击）

SYN洪水攻击 原理


SYN攻击


最近对SYN Flood特别感兴趣，看到一个关于SYN cookie firewall的文章，在google搜了一下，没中文的，翻译他一下 

本文介绍了4个概念 

一：介绍SYN 

二：什么是SYN洪水攻击 

三：什么是SYN cookie 

四：什么是SYN cookie防火墙 

C=client(客户器) 

S=Server(服务器) 

FW=Firewall(防火墙) 

一：介绍SYN 

SYN cookie是一个防止SYN洪水攻击技术。他由D. J. Bernstein和Eric Schenk发明。现在SYN COOKIE已经是linux内核的一部分了（我插一句



，默认的stat是no）,但是在linux系统的执行过程中它只保护linux系统。我们这里只是说创建一个linux防火墙，他可以为整个网络和所有的网 


络操作系统提供SYN COOKIE保护你可以用这个防火墙来阻断半开放式tcp连接，所以这个受保护的系统不会进入半开放状态(TCP_SYN_RECV)。当 


连接完全建立的时候，客户机到服务器的连接要通过防火墙来中转完成。 


二：什么是SYN洪水攻击？（来自CERT的警告） 

当一个系统（我们叫他客户端）尝试和一个提供了服务的系统（服务器）建立TCP连接，C和服务端会交换一系列报文。 

这种连接技术广泛的应用在各种TCP连接中，例如telnet,Web,email,等等。 

首先是C发送一个SYN报文给服务端，然后这个服务端发送一个SYN-ACK包以回应C，接着，C就返回一个ACK包来实现一次完 


整的TCP连接。就这样，C到服务端的连接就建立了，这时C和服务端就可以互相交换数据了。下面是上文的图片说明：） 

Client Server 

------ ------ 

SYN--------------------> 


<--------------------SYN-ACK 


ACK--------------------> 


Client and server can now 

send service-specific data 


在S返回一个确认的SYN-ACK包的时候有个潜在的弊端，他可能不会接到C回应的ACK包。这个也就是所谓的半开放连接，S需要 


耗费一定的数量的系统内存来等待这个未决的连接，虽然这个数量是受限的，但是恶意者可以通过创建很多的半开放式连接来发动SYN洪水攻击 。

通过ip欺骗可以很容易的实现半开放连接。攻击者发送SYN包给受害者系统，这个看起来是合法的，但事实上所谓的C根本不会回应这个 。

SYN-ACK报文，这意味着受害者将永远不会接到ACK报文。 

而此时，半开放连接将最终耗用受害者所有的系统资源，受害者将不能再接收任何其他的请求。通常等待ACK返回包有超时限制，所以半开放 。


连接将最终超时，而受害者系统也会自动修复。虽然这样，但是在受害者系统修复之前，攻击者可以很容易的一直发送虚假的SYN请求包来持续 


攻击。 

在大多数情况下，受害者几乎不能接受任何其他的请求，但是这种攻击不会影响到已经存在的进站或者是出站连接。虽然这样，受害者系统 


还是可能耗尽系统资源，以导致其他种种问题。 

攻击系统的位置几乎是不可确认的，因为SYN包中的源地址多数都是虚假的。当SYN包到达受害者系统的时候，没有办法找到他的真实地址 


，因为在基于源地址的数据包传输中，源ip过滤是唯一可以验证数据包源的方法。 


三：什么是SYN cookie？ 

SYN cookie就是用一个cookie来响应TCP SYN请求的TCP实现，根据上面的描述，在正常的TCP实现中，当S接收到一个SYN数据包，他返回 


一个SYN-ACK包来应答，然后进入TCP-SYN-RECV（半开放连接）状态来等待最后返回的ACK包。S用一个数据空间来描述所有未决的连接， 


然而这个数据空间的大小是有限的，所以攻击者将塞满这个空间。 

在TCP SYN COOKIE的执行过程中，当S接收到一个SYN包的时候，他返回一个SYN-ACK包，这个数据包的ACK序列号是经过加密的，也就 


是说，它由源地址，端口源次序，目标地址，目标端口和一个加密种子计算得出。然后S释放所有的状态。如果一个ACK包从C返回， 


S将重新计算它来判断它是不是上个SYN-ACK的返回包。如果这样，S就可以直接进入TCP连接状态并打开连接。这样，S就可以 


避免守侯半开放连接了。 

以上只是SYN COOKIE的基本思路，它在应用过程中仍然有许多技巧。请在前几年的kernel邮件列表查看archive of discussions的相关详细 


内容。 

4，什么是SYN COOKIE 防火墙 

SYN COOKIE 防火墙是SYN cookie的一个扩展，SYN cookie是建立在TCP堆栈上的，他为linux操作系统提供保护。SYN cookie防火墙是linux的



一大特色，你可以使用一个防火墙来保护你的网络以避免遭受SYN洪水攻击。 

下面是SYN cookie防火墙的原理 

client firewall server 

------ ---------- ------ 

1. SYN----------- - - - - - - - - - -> 

2. <------------SYN-ACK(cookie) 

3. ACK----------- - - - - - - - - - -> 

4. - - - - - - -SYN---------------> 

5. <- - - - - - - - - ------------SYN-ACK 

6. - - - - - - -ACK---------------> 


7. -----------> relay the -------> 

<----------- connection <------- 

1:一个SYN包从C发送到S 

2：防火墙在这里扮演了S的角色来回应一个带SYN cookie的SYN-ACK包给C 

3：C发送ACK包，接着防火墙和C的连接就建立了。 

4：防火墙这个时候扮演C的角色发送一个SYN给S 

5：S返回一个SYN给C 

6：防火墙扮演C发送一个ACK确认包给S，这个时候防火墙和S的连接也就建立了 

7：防火墙转发C和S间的数据 
如果系统遭受SYN Flood，那么第三步就不会有，而且无论在防火墙还是S都不会收到相应在第一步的SYN包，所以我们就击退了这次SYN洪水攻 击。


//来自http://zhidao.baidu.com/link?url=q0z3IrGoTu1BkVfiuIz8vqKljGb0a-vSPPK2pax36kfH_6_hOKfI8IjmXTMv6liEB-tswsXVZoDvUB2C5Mz4ra