网站服务器遭受SYN攻击宕机22小时

我的网站还是第一次遇到这样的事情，从5月8日晚上19点一直持续到次日17点，期间20几个个小时服务器无法访问。据空间服务商说机房通知遭受SYN攻击，真TMD的郁闷到极点了！别的不多说，再出现一次这样的问题一定要去退款空间。

另外从昨天网站统计访问次数较多的图片来看，阿尔法·罗密欧 8C（Alfa Romeo 8C Spider）的访问量还算不错。

SYN攻击分SYN Flood和SYN Cookie两种：

SYN Flood是当前最流行的DoS（拒绝服务攻击）与DDoS（分布式拒绝服务攻击）的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）的攻击方式。

要明白这种攻击的基本原理，还是要从TCP连接建立的过程开始说起：

大家都知道，TCP与UDP不同，它是基于连接的，也就是说：为了在服务端和客户端之间传送TCP数据，必须先建立一个虚拟电路，也就是TCP连接，建立TCP连接的标准过程是这样的：

首先，请求端（客户端）发送一个包含SYN标志的TCP报文，SYN即同步（Synchronize），同步报文会指明客户端使用的端口以及TCP连接的初始序号；

第二步，服务器在收到客户端的SYN报文后，将返回一个SYN+ACK的报文，表示客户端的请求被接受，同时TCP序号被加一，ACK即确认（Acknowledgement）。

第三步，客户端也返回一个确认报文ACK给服务器端，同样TCP序列号被加一，到此一个TCP连接完成。

以上的连接过程在TCP协议中被称为三次握手（Three-way Handshake）。

第二种方法是设置SYN Cookie，就是给每一个请求连接的IP地址分配一个Cookie，如果短时间内连续受到某个IP的重复SYN报文，就认定是受到了攻击，以后从这个IP地址来的包会被一概丢弃。

可是上述的两种方法只能对付比较原始的SYN Flood攻击，缩短SYN Timeout时间仅在对方攻击频度不高的情况下生效，SYN Cookie更依赖于对方使用真实的IP地址，如果攻击者以数万/秒的速度发送SYN报文，同时利用SOCK_RAW随机改写IP报文中的源地址，以上的方法将毫无用武之地。

哎。。。。没办法，谁让我摊上这样的事情呢？不能访问的朋友们别急，会好起来的！

收藏、分享这篇文章！