无法杜绝的TCP SYN攻击 我该拿你怎么办？

核心提示： 2、防火墙代理接收到客户端的SYN连接请求时，就会把这个请求转发给内部的ERP服务器，无法杜绝的TCP SYN攻击 我该拿你怎么办？(3)，此时，防火墙代理就充当了客户端的角色，把SYN攻击所造成的不利影响控制在一个比较小的范围之内;或者说，保护一些关键应用与设备，当防火墙代理取得用户想要

2、防火墙代理接收到客户端的SYN连接请求时，就会把这个请求转发给内部的ERP服务器。此时，防火墙代理就充当了客户端的角色。当防火墙代理取得用户想要的信息之后，就会把这个信息反馈给客户端。此时，防火墙代理充当了ERP服务器的角色。

可见有了防火墙代理，客户端与ERP服务器之间就不会直接进行通信。不过光凭如此设置，还是不能够有效避免SYN攻击。还需要进行另外的一些设置。

如笔者在企业中，是通过防火墙的TCP定时器参数来过滤伪造的TCP连接请求。如果防火墙代理遇到伪造的连接请求，则防火墙通常也利用参数来设置半开放连接中的主动超时时间;防火墙代理也会采用参数来设置特殊连接和TCP连接请求传入速率的指标。不过在更改这个参数的时候，需要注意，要根据企业网络的实际情况进行设置。如果调整的比较短的话，则如果客户采用的是慢速链路，则他们的连接就可能会超时。

如可以利用如下的命令来达到限制SYN攻击的目的。

Ip tcp intercept access-list-number

Ip tcp intercept mode watch

这两条命令主要起到如下作用：

一是记录最近一分钟内，有多少会话发生。通常情况下，它包括有效的会话与无效的会话。也就是说，如果是伪造请求产生的会话，也会在这个记录中体现出来。

二是有多少未完成的会话。通常情况下，这个未完成的会话就可能是伪造请求所产生的会话。当企业网络发生拥塞时，查看这个未完成的会话时，往往可以取得比较有用的信息。网络管理员可以凭借这个信息判断是否是由于SYN攻击所造成的网络拥塞，了解网络性能下降的原因。

三是最终的确认等待了多久。我们都知道，SYN攻击其主要的手段就是通过伪造地址，让服务器疲与去跟源地址进行确认。若源地址迟迟没有回应的话，则服务器或者网络设备会不断的重发确认信息，直到超过一个延迟的时间。所以，通过“最终的确认等待了多久”这个参数，也可以发现网络中是否存在着 SYN攻击。

二、调整TCP/IP协议，修改TCP协议实现

第一种限制SYN攻击的方式要依赖于思科等特定的产品，如防火墙、路由器等等。除此之外，我们还可以通过调整TCP/IP协议栈，修改TCP协议实现来达到防止SYN攻击。如可以通过增加最大半连接和缩短超时时间、SYN Cookies技术等来实现我们需要的目标。不过这个调整技术难度比较大。同时，调整TCP/Ip协议栈，会使得某些应用功能受到影响。所以，管理员在做类似的修改之前，要进行充分了解，并进行详细、充分的测试才能够进行部署。

如在微软的操作系统中，提供了一种SynAttackProtec的机制。这也是通过调整TCP/IP协议栈的方式来限制SYN的攻击。他主要是通过关闭某些Socket选项，同时增加额外的连接指示和减少超时时间，让系统恩能够处理更多的SYN连接，以达到防范SYN攻击的目的。在通常情况下，系统不会启用这个保护机制。需要网络管理员进行手工的配置。

不过笔者一般不建议采用这种方式。因为它会对现有的应用服务产生比较大的影响，会对现有的网络应用产生不利的影响，如降低网络、服务器的稳定性等等。所以笔者还是建议通过专门的网络设备，如路由器或者防火墙来防范SYN攻击。

不过要注意一点，就是无论采用上面的哪一种实现方式，要想彻底的杜绝SYN攻击是一件不可能完成的任务。除非完全更改TCP实现方式。不过到目前为止，这是不可能的。所以网络管理员应该对此有一个清醒的认识。任何想试图杜绝SYN攻击的尝试都将无功而返。我们现在所能够做的，就是想尽一切可行的方法，把SYN攻击所造成的不利影响控制在一个比较小的范围之内;或者说，保护一些关键应用与设备，减少SYN攻击对其造成的不利影响。