TCP/IP SYN 攻擊（SYN Flooding Attack）即是指利用了 TCP/IP 三次握手協(xié)議的不完善而惡意發(fā)送大量?jī)H僅包含 SYN 握手序列數(shù)據(jù)包的攻擊方式。該種攻擊方式可能將導(dǎo)致被攻擊計(jì)算機(jī)為了保持潛在連接在一定時(shí)間內(nèi)大量占用系統(tǒng)資源無法釋放而拒絕服務(wù)甚至崩潰。

使用簡(jiǎn)介：
SYN Flood Attacker V1.0 是一款基于 TCP/IP SYN 洪水攻擊測(cè)試的拒絕服務(wù)產(chǎn)品。測(cè)試目標(biāo)為任何基于 TCP/IP 協(xié)議的系統(tǒng)，包括但不僅限于 Unix/Linux/Windows/MAC OS 等等。
但是本軟件只能在 RedHat Linux 7.x 環(huán)境下運(yùn)行（是否可以運(yùn)行于其它 Linux 環(huán)境未經(jīng)測(cè)試），因?yàn)楸拒浖�編譯環(huán)境為 RedHat Linux 7.x，并且運(yùn)行時(shí)需要具有 ROOT 權(quán)限。
請(qǐng)將本軟件上傳到 Linux 系統(tǒng)任意路徑，并將其屬性設(shè)置為 chmod 500 syn。
如果運(yùn)行路徑包含在 $PATH 中則可以直接在 # 提示符下輸入 syn 運(yùn)行，否則 cd 進(jìn)入上傳路徑，執(zhí)行 ./syn。
使用語法如下：
usage: syn SpoofSourceIP AttackIP AttackPort [Packages] [Loops] [Sleep second]
其中：
syn 表示本軟件，不帶參數(shù)或者參數(shù)缺乏，將顯示上述語法。
SpoofSourceIP 表示欺騙源 IP 地址，也就是偽造一個(gè) IP 地址。
AttackIP 表示準(zhǔn)備實(shí)施攻擊測(cè)試的 IP 地址或者 www 域名。
AttackPort 表示準(zhǔn)備實(shí)施攻擊測(cè)試的目標(biāo)端口。
Packages 可選參數(shù)，表示并發(fā)構(gòu)造的 SYN 包數(shù)，默認(rèn)為 1 個(gè)包。
Loops 可選參數(shù)，表示循環(huán)次數(shù)，默認(rèn)為 1 次。
Sleep second 可選參數(shù)，表示每次 SYN 攻擊后休眠等待的秒數(shù)，默認(rèn)為 1 秒，指定 0 表示不休眠連續(xù)發(fā)送。

實(shí)例參照：
典型攻擊測(cè)試如下：
syn 1.1.1.1 目標(biāo)地址 目標(biāo)端口 99999 9999 0
以上指令將對(duì)目標(biāo)地址的指定端口每次發(fā)送 99999 個(gè) SYN Flood 洪水攻擊包，并且循環(huán)發(fā)送 9999 次，連續(xù)發(fā)送。
如果攻擊測(cè)試有效，那么目標(biāo)系統(tǒng)將會(huì)被拒絕服務(wù)，并且同時(shí)會(huì)由于虛假回應(yīng)包的泛濫而波及到目標(biāo)系統(tǒng)所在的網(wǎng)段以及網(wǎng)關(guān)服務(wù)器。

技術(shù)分析：
為什么要偽造源 IP 地址？
偽造源 IP 地址可以防止被追查，不過請(qǐng)注意，偽造的源 IP 通過網(wǎng)關(guān)時(shí)將被替換為網(wǎng)關(guān)真實(shí) IP 地址，因此你的網(wǎng)關(guān)服務(wù)器將被暴露，所以請(qǐng)謹(jǐn)慎通過本地局域網(wǎng)發(fā)送攻擊測(cè)試包。
另一方面，只有偽造源 IP 地址才能造成最大的攻擊測(cè)試力度。如果采用自己的 IP 發(fā)出去，所有的攻擊包流量最終將被 TCP/IP 三次握手協(xié)議回饋到自己的系統(tǒng)上來。另外，偽造源 IP 地址可以對(duì)目標(biāo)系統(tǒng)以及偽造 IP 的真正屬主進(jìn)行雙重打擊。
不過強(qiáng)烈建議采用肯定不可達(dá)的偽造源 IP 地址！因?yàn)槿魏慰蛇_(dá)的 IP 地址在收到被攻擊目標(biāo)的回應(yīng)信號(hào)以后，將立即回應(yīng) RST 斷開連接，被攻擊目標(biāo)同時(shí)也會(huì)釋放連接。如果采用不可達(dá)或者很難在短時(shí)間內(nèi)送達(dá)的 IP 地址則會(huì)讓被攻擊目標(biāo)一直處于 SYN_RECV 等待狀態(tài)，如果攻擊包足夠多、足夠密集并且運(yùn)用得當(dāng)，那么目標(biāo)系統(tǒng)將很難幸免。

目標(biāo)端口如何選擇？
只要是防火墻沒有監(jiān)聽阻斷或者有選擇允許通過的端口都可以測(cè)試。至于哪些屬于防火墻阻斷端口可以用掃描器測(cè)試，如果端口屬于有選擇性的通過，那么利用偽造的貌似合法的 IP 地址可以達(dá)到攻擊測(cè)試目的。
通常說來，HTTP 的 80 端口總是可以利用的。
Windows 系統(tǒng)的 135/137/138/445 等端口也可以列入重點(diǎn)測(cè)試評(píng)估范圍。
另外，SMTP/POP3、mySQL 數(shù)據(jù)庫 3306 端口以及其它釋放比較慢的或者被安全公告明確描述的存在安全隱患的系統(tǒng)端口也可以根據(jù)具體情況加以測(cè)試。
根據(jù)經(jīng)驗(yàn)，對(duì)于 Windows 系統(tǒng)來說，如果目標(biāo)系統(tǒng)沒有安裝合適的防火墻，那么 445 端口的打擊將是致命的；對(duì)于 mySQL 3306 端口以及其它數(shù)據(jù)庫連接端口，由于這些連接端口可以承受的瞬間并發(fā)連接數(shù)目是有限的，因此高密度的打擊將十分有效，考慮到有些數(shù)據(jù)庫應(yīng)用系統(tǒng)采用的是本地 localhost 或者 127.0.0.1 調(diào)用方式，因此偽造源 IP 設(shè)定為 127.0.0.1 會(huì)有點(diǎn)意思。
順便說一句，超過 65535 的并發(fā)攻擊包數(shù)目將導(dǎo)致被攻擊系統(tǒng)端口卷繞，這種卷繞在實(shí)際運(yùn)用中可能會(huì)通過目標(biāo)系統(tǒng)從內(nèi)部讓網(wǎng)關(guān)防火墻頻頻報(bào)錯(cuò)而應(yīng)接不暇。

是否應(yīng)該在每次攻擊測(cè)試后短暫休眠？
一般說來，不休眠實(shí)施連續(xù)攻擊的效果會(huì)比較好，但是在某些特殊情況和某些特殊端口應(yīng)用中，休眠一定的時(shí)間可能會(huì)更有效。

【相關(guān)文章】

• TCP/IP攻擊原理分析總結(jié)
  

• TCP/IP協(xié)議數(shù)據(jù)報(bào)結(jié)構(gòu)詳解
  

• 通過連接實(shí)例解讀TCP/IP協(xié)議