SYN Flood是一種非常危險(xiǎn)而常見的Dos攻擊方式。到目前為止，能夠有效防范SYN Flood攻擊的手段并不多，SYN Cookie就是其中最著名的一種。

SYN Flood攻擊原理

SYN Flood攻擊是一種典型的拒絕服務(wù)(Denial of Service)攻擊。所謂的拒絕服務(wù)攻擊就是通過進(jìn)行攻擊，使受害主機(jī)或網(wǎng)絡(luò)不能提供良好的服務(wù)，從而間接達(dá)到攻擊的目的。SYN Flood攻擊利用的是IPv4中TCP協(xié)議的三次握手(Three-Way Handshake)過程進(jìn)行的攻擊。

TCP服務(wù)器收到TCP SYN request包時(shí)，在發(fā)送TCP SYN + ACK包回客戶機(jī)前，TCP服務(wù)器要先分配好一個(gè)數(shù)據(jù)區(qū)專門服務(wù)于這個(gè)即將形成的TCP連接。一般把收到SYN包而還未收到ACK包時(shí)的連接狀態(tài)稱為半打開連接(Half-open Connection)。在最常見的SYN Flood攻擊中，攻擊者在短時(shí)間內(nèi)發(fā)送大量的TCP SYN包給受害者。受害者(服務(wù)器)為每個(gè)TCP SYN包分配一個(gè)特定的數(shù)據(jù)區(qū)，只要這些SYN包具有不同的源地址(攻擊者很容易偽造)。這將給TCP服務(wù)器造成很大的系統(tǒng)負(fù)擔(dān)，最終導(dǎo)致系統(tǒng)不能正常工作。

SYN Cookie

SYN Cookie是對TCP服務(wù)器端的三次握手做一些修改，專門用來防范SYN Flood攻擊的一種手段。它的原理是，在TCP服務(wù)器接收到TCP SYN包并返回TCP SYN + ACK包時(shí)，不分配一個(gè)專門的數(shù)據(jù)區(qū)，而是根據(jù)這個(gè)SYN包計(jì)算出一個(gè)cookie值。這個(gè)cookie作為將要返回的SYN ACK包的初始序列號。當(dāng)客戶端返回一個(gè)ACK包時(shí)，根據(jù)包頭信息計(jì)算cookie，與返回的確認(rèn)序列號(初始序列號 + 1)進(jìn)行對比，如果相同，則是一個(gè)正常連接，然后，分配資源，建立連接。實(shí)現(xiàn)的關(guān)鍵在于cookie的計(jì)算，cookie的計(jì)算應(yīng)該包含本次連接的狀態(tài)信息，使攻擊者不能偽造。

SYN Cookie算法

服務(wù)器收到一個(gè)SYN包，計(jì)算一個(gè)消息摘要mac。

mac = MAC(A, k);

MAC是密碼學(xué)中的一個(gè)消息認(rèn)證碼函數(shù)，也就是滿足某種安全性質(zhì)的帶密鑰的hash函數(shù)，它能夠提供cookie計(jì)算中需要的安全性。

在Linux實(shí)現(xiàn)中，MAC函數(shù)為SHA1。

A = SOURCE_IP || SOURCE_PORT || DST_IP || DST_PORT || t || MSSIND

k為服務(wù)器獨(dú)有的密鑰，實(shí)際上是一組隨機(jī)數(shù)。

t為系統(tǒng)啟動(dòng)時(shí)間，每60秒加1。

MSSIND為MSS對應(yīng)的索引。