在TCP三次握手中,server为了响应一个收到的SYN。分配并初始化连续变量和缓存。然后server发送一个SYNACK进行响应,并等待来自客户的ACK报文段。
假设某客户不发送ACK来完毕该三次握手的第三步。终于(通常在一分钟之后)server将终止该半连接并回收资源。
这样的TCP连接管理协议为经典的DoS(deny of service)攻击即SYN洪泛攻击(SYN flood attack)提供了环境。在这样的攻击中,攻击者发送大量的TCP SYN报文段,而不完毕第三次握手的步骤。
随着这样的SYN报文段纷至踏来,server不断为这些半开连接分配资源(但从未使用)。导致server的连接环境被消耗殆尽。
如今有一种有效的防御系统,成为SYN cookie 。它们被部署在大多数主流操作系统中。SYN cookie 一下列方式工作:
1、当server接收到一个SYN报文段时。它并不知道该报文段是来自一个合法的用户,还是一个SYN洪泛攻击的一部分。因此 server不会为该报文段生成一个半开连接。
相反,server生成一个初始TCP序列,该序列号是SYN报文段的源和目的IP地址与port 号以及仅有该server知道的秘密数的一个复杂函数(散列函数)。这样的精心制作的初始序列号成为“cookie”,server则发送具有这 种特殊初始序列号的SYNACK分组。重要的是,server并不记忆该cookie或不论什么相应于SYN的其它状态信息。
2、假设客户是合法的,则它将返回一个ACK报文段。
当server收到该ACK,须要验证该ACK是与前面发送的某些SYN想相应 的。
3、假设客户没有返回一个ACK报文段。则初始的SYN并没有对server产生危害,应为server没有为它分配不论什么资源。