防火墙处理:
https://info.support.huawei.com/info-finder/encyclopedia/zh/SYN+Flood.html
https://forum.huawei.com/enterprise/zh/thread-214141.html
1、fw代替服务器建立会话,正常客户端会进行第三次握手
2、fw故意发送错误syn+ack包,正常客户端会重传syn
3、fw首包丢弃,正常客户端会重新发送syn
SYN Cookie:
https://blog.csdn.net/zhangskd/article/details/16986931
SYN Cookie是对TCP服务器端的三次握手做一些修改,专门用来防范SYN Flood攻击的一种手段。它的原理是,在TCP服务器接收到TCP SYN包并返回TCP SYN + ACK包时,不分配一个专门的数据区,而是根据这个SYN包计算出一个cookie值。这个cookie作为将要返回的SYN ACK包的初始序列号。当客户端返回一个ACK包时,根据包头信息计算cookie,与返回的确认序列号(初始序列号 + 1)进行对比,如果相同,则是一个正常连接,然后,分配资源,建立连接。但是这个方案也有漏洞,攻击者可以只发ack包,大量的ack包消耗服务器的cpu资源。
本人设想:
旁路设备,镜像流量,判断syn超时后,发送特殊包给服务器,释放服务器上的半连接