SYN flooding：SYN flooding

SYN flooding是恶意客户程序用户用来向计算机服务器进行拒绝服务（DOS）攻击的一种方法。恶意客户程序使用假的IP地址，不断向服务器各个端口发送SYN（同步）数据包。

　　攻击开始时，服务器看到多个建立通信的相同企图。服务器在各个开放端口使用一个SYN/ACK（同步应答）数据包，而在各个关闭端口使用RST（清零）数据包来响应各个请求。在通常的三方握手中，客户会返回一个ACK数据包来确认服务器的SYN/ACK数据包已经收到，然后同意通信。然而，在SYN flood中，恶意客户程序从来不发送ACK数据包，相反，恶意客户程序向服务器端口发送一个重复的SYN请求。

　　恶意客户程序发送看起来都是有效的SYN请求，但是由于IP地址是虚假的，服务器不能通过向恶意客户端发送RST数据包来关闭连接。在超时之前，另一个SYN数据包到达，这种连接称为半开放连接，在这种情况下，服务器完全或几乎完全忙于恶意客户程序，而难以或者不可能与合法客户端进行通信。

　　恶意客户程序可以利用半开放连接，并且可访问服务器上的文件。恶意客户为寻找开放端口和黑客进入其中的一个或多个而传输SYN包，这称为SYN扫描。当服务器响应SYN/ACK包时，恶意客户总能知道哪个端口是开放的。

最近更新时间：2009-09-28 EN