---

TCP三次握手（连接与断开）/SYN FLOOD攻击

(1)三次握手

TCP协议是一个可靠的、面向连结的传输机制，它提供一种可靠的字节流保证数据完整、无损并且按顺序到达。TCP尽量连续不断地测试网络的负载并且控制发送数据的速度以避免网络过载。另外，TCP试图将数据按照规定的顺序发送。

TCP在建立连接时，共分三步：

l         第一步是请求端（客户端）发送一个包含SYN即同步（Synchronize）标志的TCP报文，SYN同步报文会指明客户端使用的端口以及TCP连接的初始序号；

l         第二步，服务器在收到客户端的SYN报文后，将返回一个SYN+ACK的报文，表示客户端的请求被接受，同时TCP序号被加一，ACK即确认（Acknowledgement）。

l         第三步，客户端也返回一个确认报文ACK给服务器端，同样TCP序列号被加一，到此一个TCP连接完成。然后才开始通信的第二步：数据处理。

以上三步就是所说的TCP三次握手（Three-way Handshake）。简单的总结起来就是下图所示的三个步骤：

A：SYN(j)

B：ACK（j+1）/ SYN(k)

A：ACK（k+1）

(2)SYN FLOOD攻击

假设一个A向B发送了SYN后无故消失了，那么B在发出SYN+ACK应答报文后是无法收到A的ACK报文的（第三次握手无法完成），这种情况下B一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度称为SYN Timeout，一般来说这个时间是分钟的数量级（大约为30秒-2分钟）；一个A出现异常导致B的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况，B将为了维护一个非常大的半连接列表而消耗非常多的资源：数以万计的半连接，即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果B的TCP/IP栈不够强大，最后的结果往往是堆栈溢出崩溃，即使B的系统足够强大，B也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求（毕竟C的正常请求比率非常之小），此时从正常客户的角度看来，B失去响应，这种情况称作：服务器端受到了SYN Flood攻击（SYN洪水攻击）。