SYN Flood是互聯(lián)網(wǎng)上最原始、最經(jīng)典的DDoS（Distributed Denial of Service）攻擊之一。它利用了TCP協(xié)議的三次握手機制，攻擊者通常利用工具或者控制僵尸主機向服務器發(fā)送海量的變源IP地址或變源端口的TCP SYN報文，服務器響應了這些報文后就會生成大量的半連接，當系統(tǒng)資源被耗盡后，服務器將無法提供正常的服務。通過增加服務器性能，提供更多的連接能力對于SYN Flood的海量報文來說杯水車薪，防御SYN Flood的關(guān)鍵在于判斷哪些連接請求來自于真實源，屏蔽非真實源的請求以保障正常的業(yè)務請求能得到服務。

自帶免費防護的美國服務器租用推薦：http://www.avationmedia.com/dedicated/usa.shtml

如何識別和防御SYN Flood？

SYN Flood的目的是占滿服務器的連接數(shù)，消耗服務器的系統(tǒng)資源。對于服務器自身來說，最直接的做法就是提高服務能力，比如組建集群，升級硬件。但是這種方式成本巨大，且對于海量的攻擊報文來說，并沒有太大的作用，僅多撐幾分鐘甚至幾秒而已。

所以，必須在這些攻擊報文到達服務器之前就進行攔截。然而對于防火墻這類安全設(shè)備而言，SYN報文是正常的業(yè)務報文，防火墻的安全策略必須允許其通過，否則服務器就無法對外提供服務。如果能明確虛假源的IP地址，就能通過精細的安全策略阻止這些源發(fā)來的SYN報文。但是管理員無法預知哪些是虛假源。即使能分析出虛假源，也無法做到快速、自動地配置或取消安全策略來應對不可預期的攻擊流量。

此時就需要Anti-DDoS系統(tǒng)的能力了，它部署在網(wǎng)絡(luò)入口處，在服務器之前處理SYN報文，識別出虛假源，屏蔽來自這些地址的報文，只將合法的SYN報文傳遞給服務器。Anti-DDoS系統(tǒng)處理SYN報文主要有兩種手段，源認證和首包丟棄。

目前在針對SYN Flood方面除了阿里云、華為云這些大廠之外，很多做國際業(yè)務的海外服務商也推出了針對性的解決方案，例如USA-IDC的美國機房就為所有的旗下美國服務器提供前置的SYN Flood抗攻擊防火墻，此外即使是一般非專業(yè)高防服務器也自帶10GB的防護，對于SYN Flood攻擊頻發(fā)的美國服務器來說基本能夠滿足防護需求，目前美國服務器可以提供免費試用服務器，有需求的用戶可以點擊下方入口【申請免費試用】資格，年付還有專屬折扣