SYN flood attack ：封包 DOS 攻击

TCP 3-way handshake

在了解 SYN flood attack 之前我们先要知道 TCP 三次握手协议 (TCP 3-way handshake) ， 当一个 Client 端想要连线到 Server 端的某个 Listen Port，client 会先送出一个 "SYN" 封包， 等Server 端收到后，就会回一个 "SYN-ACK" 给 Client 端， Client 端收到 "SYN-ACK" 后，必须再送一个讯息 "ACK" 给 Server 端，Server 端收到 "ACK" 后，TCP 连线就建立完成，两端可以开始传送各种讯息。

TCP 3-way handshake 图示

SYN flood attack

SYN flood attack 的攻击很简单， Client 端送出大量的 "SYN" 讯息给 Server 所有的 Port，等到 Server 回传 "SYN-ACK" 后， Client 端故意不回传 "ACK" ，这样 Server 就会一直等待 "ACK" 讯息，直到 Timeout (通常是三秒) ，当 Client 送的量大到卡死 Server 的 Listen Port ，Server 就没办法处理其它正常 User 的封包 ，这种连线一半的攻击行为也被叫 half open attack 。

SYN flood attack 图示

变种 SYN flood

除了 half open 之外， SYN flood 也有其它的变种，例如 Client 送出 "SYN" 封包时，故意用假的 IP Address ，让 Server 端回覆 "SYN-ACK" 给错误的 IP ，这些不知情的 IP 因为没有送过 SYN 封包给 Server ，自然也就不会回覆 "ACK" 。

参考资料

• https://en.wikipedia.org/wiki/SYN_flood
• https://www.incapsula.com/ddos/attack-glossary/syn-flood.html