SYN cookie的原理

  YSN COOKIE是linux內核的一部分，如果在沒進行配置時，默認狀態為默認的stat是no，是在linux系統的執行過程中能保護linux系統。

  SYN cookie就是用一個cookie來響應TCP SYN請求的TCP實現，在正常的TCP實現中，當S接收到一個SYN數據包，他返回一個SYN-ACK包來應答，然后進入TCP-SYN-RECV(半開放連接)狀態來等待最后返回的ACK包。S用一個數據空間來描述所有未決的連接，然而這個數據空間的大小是有限的，所以攻擊者將塞滿這個空間。

  在TCP SYN COOKIE的執行過程中，當S接收到一個SYN包的時候，他返回一個SYN-ACK包，這個數據包的ACK序列號是經過加密的，也就是說，它由源地址，端口源次序，目標地址，目標端口和一個加密種子計算得出。然后S釋放所有的狀態。如果一個ACK包從C返回，S將重新計算它來判斷它是不是上個SYN-ACK的返回包。如果這樣，S就可以直接進入TCP連接狀態并打開連接。這樣，S就可以避免守侯半開放連接了。

  SYN COOKIE 防火墻

  SYN COOKIE 防火墻是SYN cookie的一個擴展，SYN cookie是建立在TCP堆棧上的，他為linux操作系統提供保護。

  下面是SYN cookie防火墻的原理

  client firewall server

  ------ ---------- ------

  1. SYN----------- - - - - - - - - - ->

  2. <------------SYN-ACK(cookie)

  3. ACK----------- - - - - - - - - - ->

  4. - - - - - - -SYN--------------->

  5. <- - - - - - - - - ------------SYN-ACK

  6. - - - - - - -ACK--------------->

  7. -----------> relay the ------->

  <----------- connection <-------

  1:一個SYN包從C發送到S

  2：防火墻在這里扮演了S的角色來回應一個帶SYN cookie的SYN-ACK包給C

  3：C發送ACK包，接著防火墻和C的連接就建立了。

  4：防火墻這個時候扮演C的角色發送一個SYN給S

  5：S返回一個SYN給C

  6：防火墻扮演C發送一個ACK確認包給S，這個時候防火墻和S的連接也就建立了

  7：防火墻轉發C和S間的數據

  如果系統遭受SYN Flood，那么第三步就不會有，而且無論在防火墻還是S都不會收到相應在第一步的SYN包，所以我們就擊退了這次SYN洪水攻擊。

  三三在線http://www.33ol.com/，服務器租用 托管 高防服務器租用，機柜大帶寬租用，我司有：四川德陽機房，廣東佛山機房，大朗機房，松山湖機房，香港機房CN2，杭州BGP高防，新加坡機房，菲律賓，韓國，日本 美國，高防 無防服務器。企點Q：2852361322電話：13924367540