安全之二

SYN是黑客攻击中最常见又最容易被利用的一种手法，SYN攻击属于DOS攻击的一种，它利用TCP协议缺陷，通过发送大量的半连接请求，耗费CPU和内存资源。SYN攻击除了能影响主机外，还可以危害路由器、防火墙等网络系统，只要是找开了TCP/IP连接的系统均可以受到攻击。

在Windows系统下执行 netstat -n -p TCP 可以判断系统是否受到攻SYN攻击。

　如果有state中有较多的SYN_RECV的条目，则可以判断系统受到攻击。图中显示的是正常状态。

防火墙、路由器由防止SYN攻击的配置，事实上，Windows系统也可以通过注册表进行设置，启用SYN攻击保护。

如指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阀值为5；指定处于 SYN_RCVD 状态的 TCP 连接数的阈值为500；指定处于至少已发送一次重传的 SYN_RCVD 状态中的 TCP 连接数的阈值为400。

操作步骤如下：

在“开始->运行->键入regedit”

启用 SYN 攻击保护的命名值位于注册表项 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 之下。值名称：SynAttackProtect。推荐值：2。

以下部分中的所有项和值均位于注册表项 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 之下。

指定必须在触发 SYN flood 保护之前超过的 TCP 连接请求阈值。值名称：TcpMaxPortsExhausted。推荐值：5。

启用 SynAttackProtect 后，该值指定 SYN_RCVD 状态中的 TCP 连接阈值，超过 SynAttackProtect 时，触发 SYN flood 保护。值名称：TcpMaxHalfOpen。推荐值数据：500。

启用 SynAttackProtect 后，指定至少发送了一次重传的 SYN_RCVD 状态中的 TCP 连接阈值。超过 SynAttackProtect 时，触发 SYN flood 保护。值名称：TcpMaxHalfOpenRetried。推荐值数据：400。