特別值得一提的是CentOS SYN有很多值得學習的地方，這里我們主要介紹CentOS SYN攻擊，包括介紹CentOS SYN 原理等方面。CentOS SYN Flood攻擊利用的是IPv4中TCP協議的三次握手（Three-Way Handshake）過程進行的攻擊。

一：什么是CentOS SYN Flood攻擊

CentOS SYN Flood攻擊利用的是IPv4中TCP協議的三次握手（Three-Way Handshake）過程進行的攻擊。這個協議規定，如果一端想向另一端發起TCP連接，它需要首先發送TCP SYN (synchronize)包到對方。

對方收到后發送一個TCP SYN+ACK包回來，發起方再發送TCP ACK (ACKnowledge Character）包回去，這樣三次握手就結束了。在上述過程中，還有一些重要的概念。

未連接隊列：在三次握手協議中，服務器維護一個未連接隊列，該隊列為每個客戶端的CentOS SYN包 （syn=j）開設一個條目，該條目表明服務器已收到CentOS SYN包，并向客戶發出確認，正在等待客戶的確認包。

這些條目所標識的連接在服務器處于CentOS SYN_RECV狀態，當服務器收到客戶的確認包時，刪除該條目，服務器進入ESTABLISHED狀態。或者說TCP服務器收到TCP SYN request包時。

在發送TCP SYN+ACK包回TCP客戶機前，TCP服務器要先分配好一個數據區專門服務于這個即把形成的TCP連接。一般把收到CentOS SYN包而還未收到ACK包時的連 接狀態成為半開連接（Half-open Connection）。

Backlog參數：表示未連接隊列的最大容納數目。CentOS SYN -ACK 重傳次數：服務器發送完CentOS SYN －ACK包，如果未收到客戶確認包，服務器進行首次重傳，等待一段時間仍未收到客戶確認包，進行第二次重傳，如果重傳次數超過系統規定的最大重傳次數。

系統將該連接信息從半連接隊列中刪除。注意，每次重傳等待的時間不一定相同。半連接存活時間：是指半連接隊列的條目存活的最長時間，也即服務從收到SYN包到確認這個報文無效的最長時間。

該時間值是所有重傳請求包的最長等待時間總和。有時我們也稱半連接存活時間為Timeout時間、CentOS SYN _RECV存活時間。在最常見的CentOS SYN Flood攻擊中，攻擊者在短時間內發送大量的TCP SYN包給受害者，這時攻擊者是TCP客戶機，受害者是TCP服務器。

根據上面的描述，受害者會為每個TCP SYN包分配一個特定的數據區，只要這些CentOS SYN 包具有不同的源地址（這一點對于攻擊者來說是很容易偽造的）。這把給TCP服務器系統造成很大的系統負擔， 最終導致系統不能正常工作。

二：CentOS SYN Cookie原理

能夠有效防范CentOS SYN Flood攻擊的手段之一，就是SYN Cookie。SYN Cookie原理由D. J. Bernstain和 Eric Schenk發明。CentOS SYN Cookie是對TCP服務器端的三次握手協議作一些修改，專門用來防范CentOS SYN Flood攻擊的一種手段。

它的原理是， 在TCP服務器收到TCP SYN包并返回TCP SYN+ACK包時，不分配一個專門的數據區，而是根據這個CentOS SYN包計算出一個cookie值。在收到TCP ACK包時，TCP服務器在根據那個cookie值檢查這個TCP ACK包的合法性。

如果合法，再分配專門的數據區進行處理未來的TCP連接。下面分Linux和FreeBSD來說說如何配置內核參數來實現CentOS SYN Cookie

三：Linux下設置

如果你的服務器配置不太好，TCP TIME_WAIT套接字數量達到兩、三萬，服務器很容易被拖死。通過修改Linux內核參數，可以減少服務器的TIME_WAIT套接字數量。

TIME_WAIT可以通過以下命令查看：以下是代碼片段：netstat -an | grep "TIME_WAIT" | wc -l 在Linux下，如CentOS，可以通過修改/etc/sysctl.conf文件來達到目的。

增加以下幾行：以下是代碼片段：

net.ipv4.tcp_fin_timeout = 30 
net.ipv4.tcp_keepalive_time = 1200 
net.ipv4.tcp_syncookies = 1 
net.ipv4.tcp_tw_reuse = 1 
net.ipv4.tcp_tw_recycle = 1 
net.ipv4.ip_local_port_range = 102465000 
net.ipv4.tcp_max_syn_backlog = 8192 
net.ipv4.tcp_max_tw_buckets = 5000 
net.ipv4.tcp_synack_retries = 2 
net.ipv4.tcp_syn_retries = 2  

說明：

net.ipv4.tcp_syncookies = 1 表示開啟CentOS SYN Cookies，這是個BOOLEAN。當出現CentOS SYN等待隊列溢出時，啟用cookies來處理，可防范少量CentOS SYN攻擊，默認為0，表示關閉；

net.ipv4.tcp_tw_reuse = 1 表示開啟重用,這是個BOOLEAN。允許將TIME-WAIT sockets重新用于新的TCP連接，默認為0，表示關閉；

net.ipv4.tcp_tw_recycle = 1 表示開啟TCP連接中TIME-WAIT sockets的快速回收,這是個BOOLEAN，默認為0，表示關閉。

net.ipv4.tcp_fin_timeout = 30 表示如果套接字由本端要求關閉，這個參數決定了它保持在FIN-WAIT-2狀態的時間。單位為秒。

net.ipv4.tcp_keepalive_time = 1200 表示當keepalive起用的時候，TCP發送keepalive消息的頻度。缺省是2小時，改為20分鐘。單位為秒。

net.ipv4.ip_local_port_range = 102465000 表示用于向外連接的端口范圍。缺省情況下很小：32768到61000，改為1024到65000。

net.ipv4.tcp_max_syn_backlog = 8192 表示CentOS SYN隊列的長度，默認為1024，加大隊列長度為8192，可以容納更多等待連接的網絡連接數。

net.ipv4.tcp_max_tw_buckets = 5000 表示系統同時保持TIME_WAIT套接字的最大數量，如果超過這個數字，TIME_WAIT套接字將立刻被清除并打印警告信息。

默認為180000，改 為5000。對于Apache、Nginx等服務器，上幾行的參數可以很好地減少TIME_WAIT套接字數量，但是對于Squid，效果卻不大。此項參數可以控制TIME_WAIT套接字的最大數量，避免Squid服務器被大量的TIME_WAIT套接字拖死。

net.ipv4.tcp_synack_retries和net.ipv4.tcp_syn_retries是定義CentOS SYN重試次數。 執行以下命令使配置生效：以下是代碼片段：/sbin/sysctl -p 如果你不想修改/etc/sysctl.conf，你也可以直接使用命令修改:以下是代碼片段：/sbin/sysctl -w key=value

四：FreeBSD下設置

yayu個人學習的觀點：FreeBSD中對CentOS SYN的防御和Linux下可能不一樣，配置的參數也不完全相同，相關配置和理解可能不對：）TCP鏈接中有一個MSL(max segment lifetime)的概念，也就是最大生成時間，MSL 的值在一般的實現中取30s，有些實現采用2分鐘。

在TCP的狀態機中的“被動關閉”:從CLOSE_WAIT到LAST_ACK中有一個如下的規則：當 TCP執行一個主動關閉，并發回最后一個ACK,該連接必須在TIME_WAIT狀態停留的時間為2倍的MSL。這樣可讓TCP再次發送最后的ACK以防 這個ACK丟失（另一端超時并重發最后的 FIN)。

存在這個規則導致一個后果就是在這個2*MSL的時間內，該地址上的鏈接（客戶端地址、端口和服務器端的地址、端口）不能被使用。比如我們在建立一個鏈接后關閉鏈接然后迅速重啟鏈接，那么就會出現端口不可用的情況。

TIME_WAIT時間是2*MSL。因此可以通過調整net.inet.tcp.msl來減少TIME_WAIT時間。對于Web服務器完全可以將這個值調整為7500或2000（訪問一個web,超過4~15秒頁面還刷不出來，就可以考慮放棄了-_-）

參數設置參考：

以下是引用片段：net.inet.tcp.syncookies=1防止DOS攻擊net.inet.tcp.msl=7500防止DOS攻擊，默認為30000net.inet.tcp.blackhole=2接收到一個已經關閉的端口發來的所有包，直接drop，如果設置為1則是只針對TCP包

net.inet.udp.blackhole=1接收到一個已經關閉的端口發來的所有UDP包直接dropFreeBSD下，yayu沒看見“/sbin/sysctl -p”這樣的命令可以使/etc/sysctl.conf的內容生效，所以直接使用命令了：

以下是代碼片段：sysctl net.inet.tcp.syncookies=1 net.inet.tcp.msl=7500 net.inet.tcp.blackhole=2 net.inet.udp.blackhole=1

五：其他

除了修改服務器的內核參數，還可以修改apache的配置文件中的Timeout、KeepAlive、MaxClients等參數來防止Dos攻擊，如果有接口調用，還要注意控制一下調用的時間。請聽下文分解。

ACK 英文縮寫: ACK (ACKnowledge Character） 中文譯名: 確認字符 分 類: 傳輸與接入 解 釋: 在數據通信傳輸中，接收站發給發送站的一種傳輸控制字符。它表示確認發來的數據已經接受無誤。

NAK是否定應答或者非應答的縮寫。它是一個用于數字通信中確認數據受到但是有小錯誤的信號。有時候NAK信號也叫REJ(拒絕)。
CentOS SYN 包(synchronize)

TCP連接的第一個包，非常小的一種數據包。CentOS SYN 攻擊包括大量此類的包，由于這些包看上去來自實際不存在的站點，因此無法有效進行處理。每個機器的欺騙包都要花幾秒鐘進行嘗試方可放棄提供正常響應。

在黑客攻擊事件中，CentOS SYN攻擊是最常見又最容易被利用的一種攻擊手法。CentOS SYN攻擊屬于DOS攻擊的一種，它利用TCP協議缺陷，通過發送大量的半連接請求，耗費CPU和內存資源。

CentOS SYN攻擊除了能影響主機外，還可以危害路由 器、防火墻等網絡系統，事實上CentOS SYN攻擊并不管目標是什么系統，只要這些系統打開TCP服務就可以實施。服務器接收到連接請求（syn= j），將此信息加入未連接隊列，并發送請求包給客戶（syn=k,ack=j+1），此時進入SYN_RECV狀態。

當服務器未收到客戶端的確認包時，重 發請求包，一直到超時，才將此條目從未連接隊列刪除。配合IP欺騙，CentOS SYN攻擊能達到很好的效果，通常，客戶端在短時間內偽造大量不存在的IP地址，向服 務器不斷地發送syn包，服務器回復確認包，并等待客戶的確認。

由于源地址是不存在的，服務器需要不斷的重發直至超時，這些偽造的CentOS SYN包將長時間占用未 連接隊列，正常的CentOS SYN請求被丟棄，目標系統運行緩慢，嚴重者引起網絡堵塞甚至系統癱瘓。

關于CentOS SYN攻擊防范技術，人們研究得比較早。歸納起來，主要有兩大類，一類是通過防火墻、路由器等過濾網關防護，另一類是通過加固TCP/IP協議棧防范.但必須清楚的是，CentOS SYN攻擊不能完全被阻止，我們所做的是盡可能的減輕CentOS SYN攻擊的危害，除非將TCP協議重新設計。