SYN flood攻击的原理及其防御 （三）

下面分析一下基于地址状态监控的方法如何能够防御SYN Flood攻击。
1）　 对于一个伪造源地址的SYN报文，若源地址第一次出现，则源地址的状态为NEW状态，当监听到服务器的SYN+ACK报文，表明服务器已经为该源地址的连接请求建立了半连接。此时，监控程序代源地址发送一个ACK报文完成连接。这样，半连接队列中的半连接数不是很多。计时器开始计时，由于源地址是伪造的，所以不会收到ACK报文，超时后，监控程序发送RST数据包，服务器释放该连接，该源地址的状态转为BAD状态。之后，对于每一个来自该源地址的SYN报文，监控程序都会主动发送一个RST报文。
2）　 对于一个合法的SYN报文，若源地址第一次出现，则源地址的状态为NEW状态，服务器响应请求，发送SYN＋ACK报文，监控程序发送ACK报文，连接建立完毕。之后，来自客户端的ACK很快会到达，该源地址的状态转为GOOD状态。服务器可以很好的处理重复到达的ACK包。
从以上分析可以看出，基于监控的方法可以很好的防御SYN Flood攻击，而不影响正常用户的连接。
3　 小结
本文介绍了SYN Flood攻击的基本原理，然后详细描述了两种比较有效和方便实施的防御方法：SYN-cookie技术和基于监控的源地址状态技术。SYN-cookie技术实现了无状态的握手，避免了SYN Flood的资源消耗。基于监控的源地址状态技术能够对每一个连接服务器的IP地址的状态进行监控，主动采取措施避免SYN Flood攻击的影响。这两种技术是目前所有的防御SYN Flood攻击的最为成熟和可行的技术。

参考文献
1．　 颜学雄，王清贤，李梅林.　SYN Flood攻击原理与预防方法.　计算机应用，2000
2．　 孙　曦，朱晓妍，王育林. DDoS下的TCP洪流攻击及对策. 网络安全技术与应用，2004
3．　 李　磊，赵永祥，陈常嘉. TCP SYN Flooding原理及其应对策略. 网络与应用，2003
4．　 陈　波. SYN Flood攻击的原理、实现与防范. 计算机应用与研究，2003