三次握手过程：

客户端视角：

1.客户端调用connect，开启计时器，发送SYN包，如果重传超时，认为连接失败

2.如果收到服务端的ACK，则进入ESTABLISHED状态

3.清除重传计时器，发送ACK，开启保活计时器：如果再次收到ACK+SYN说明服务端没收到第三次握手包，进行了重传，此时客户端会重传ACK

注意：由于客户端在第二次握手成功后已经进入ESTABLISHED状态，认为连接已经建立，但如果第三次握手包ACK丢失，且服务端一直未能收到ACK（服务端重传包丢失，或客户端收到重传包但ACK仍丢失），服务端会因为重传次数上限而认为连接失败，重新进入listen，那么此时是一种半连接，客户端发送数据会失败

服务端视角：

1.listen()创建半连接队列和全连接队列

2.收到SYN包，如果半连接队列已满，丢弃该连接，否则为该连接创建一个socket加入到半连接队列中

3.回复SYN-ACK包，开启重传计时器

4.等待ACK，没有收到则重传SYN-ACK，重传上限后，认为连接失败，清除socket，回到listen状态

5.如果收到ACK，则进入ESTABLISHED状态

防御SYN泛洪攻击：

1. SYN Cookies

SYN Cookies是一种在服务器端防止SYN泛洪攻击的技术。当服务器收到SYN请求时，不直接为其分配资源，而是通过计算一种特殊的加密散列值（称为SYN Cookie）来生成一个SYN-ACK报文的序列号，发送给客户端。只有当客户端回应ACK时，服务器才真正为连接分配资源，并通过验证ACK中的序列号来确认连接的合法性。

• 优点：不需要维护大量的半连接状态，可以有效防止队列溢出。
• 缺点：可能会增加服务器的计算负担，并且在某些情况下（如选择确认SACK的使用）限制了TCP的功能。

2. 增加半连接队列的大小

通过增大服务器的半连接队列（backlog）大小，可以增加服务器在短时间内能够处理的未完成连接的数量，从而在一定程度上缓解SYN泛洪攻击的影响。

• 优点：简单有效，能够承受更大规模的攻击。
• 缺点：只是暂时缓解，当攻击流量进一步增加时，效果有限。

3. 减少SYN-ACK重传次数

服务器可以通过减少SYN-ACK的重传次数和降低重传的超时时间来应对SYN泛洪攻击。这样可以减少半连接队列中停留时间过长的连接，从而尽快释放资源。

• 优点：快速清理无效连接。
• 缺点：可能会对网络条件较差的合法连接造成影响。

4. 启用防火墙或入侵检测系统（IDS/IPS）

防火墙和入侵检测系统可以检测并过滤掉异常的流量，从而在流量进入服务器之前将其拦截。

• 优点：可以在网络层或传输层提前处理攻击，减少服务器的负担。
• 缺点：配置和维护复杂，且可能存在误判的情况。

5. IP黑名单

通过检测和识别恶意IP，将其加入黑名单，阻止这些IP发送的SYN请求。

• 优点：直接阻断恶意流量。
• 缺点：难以应对分布式攻击（DDoS），并且误判风险较高。

6. 负载均衡和分布式架构

通过部署负载均衡器，将流量分散到多个服务器或分布式系统中，可以减轻单个服务器的负载压力，从而提高整体抗攻击能力。

• 优点：提高了系统的整体可用性和抗攻击能力。
• 缺点：需要额外的硬件或架构调整，增加了系统复杂性。

7. 速率限制（Rate Limiting）

可以配置服务器或网络设备对单个IP地址的SYN请求进行速率限制，防止单个IP地址在短时间内发送过多的连接请求。

• 优点：有效限制攻击者的请求速率。
• 缺点：可能影响到合法用户的正常请求，特别是在高并发情况下。

IP地址在短时间内发送过多的连接请求。

• 优点：有效限制攻击者的请求速率。
• 缺点：可能影响到合法用户的正常请求，特别是在高并发情况下。

推荐学习 https://xxetb.xetslk.com/s/p5Ibb