简介

SYN_RECV是指,服务端被动打开后,接收到了客户端的SYN并且发送了ACK时的状态。再进一步接收到客户端的ACK就进入ESTABLISHED状态。
TCP SYN Flood是一种常见，而且有效的远端(远程)拒绝服务(Denial of Service)***方式，它透过一定的操作破坏TCP三次握手建立正常连接，占用并耗费系统资源，使得提供TCP服务的主机系统无法正常工作。由于TCP SYN Flood是透过网路底层对服务器Server进行***的，它可以在任意改变自己的网路IP地址的同时，不被网路上的其他设备所识别，这样就给防范网路犯罪部门追查犯罪来源造成很大的困难。在国内外的网站中，这种***屡见不鲜。在一个拍卖网站上，曾经有犯罪分子利用这种手段，在低价位时阻止其他用户继续对商品拍卖，干扰拍卖过程的正常运作。

简单判断是否SYN_RECV

一般情况下，可以一些简单步骤进行检查，来判断系统是否正在遭受TCP SYN Flood***。
1、 服务端无法提供正常的TCP服务。连接请求被拒绝或超时。
2、透过 netstat -an 命令检查系统，发现有大量的SYN_RECV连接状态。
检查服务器链接，SYN_RECV状态最高时有200多个，访问服务器网页特别慢，甚至超时，所以基本判定是SYN_RECV***。

缓解处理方案（只是延缓了 治标不治本）

 增加队列长度
 启动syn_cookies
     net.ipv4.tcp_syncookies = 1
     net.ipv4.tcp_synack_retries = 2  
     net.ipv4.tcp_max_syn_backlog = 65536

iptables花式拒绝

-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -p icmp -m limit --limit 1/sec --limit-burst 10 -j ACCEPT
-A INPUT -f -m limit --limit 100/sec --limit-burst 100 -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j syn-flood
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A syn-flood -p tcp -m limit --limit 3/sec --limit-burst 6 -j RETURN
-A syn-flood -j REJECT --reject-with icmp-port-unreachable