TCP自从1974年被发明出来之后，历经30多年发展，目前成为最重要的互联网基础协议，但TCP协议中也存在一些缺陷。 SYN攻击就是利用TCP协议的缺陷，来导致系统服务停止正常的响应。 SYN攻击原理： TCP在传递数据前需要经过三次握手，SYN攻击的原理就是向服务器发送SYN数据包，并伪造源IP地。。。

    SYN Flood是当前最流行的DoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻击)的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，常用假冒的IP或IP号段发来海量的请求连接的第一个握手包(SYN包)，被攻击服务器回应第二个握手包(SYN+ACK包)，因为对方是假冒IP，对方永远收不到包且不会回应第三个握手包。导致被攻击服务器保持大量SYN_RECV状态的“半连接”，并且会重试默认5次回应第二个握手包，塞满TCP等待连接队列，资源耗尽(CPU满负荷或内存不足)，让正常的业务请求连接不进来。

    以前写过一篇“TCP SYN-Cookie背后的人和事”，今天讨论一下发现我的理解也没有到位。看来工程中没有看过code或者调试过，对于一个事物就无法透彻的理解。本来的理解是SynCookie不会保存Session信息，取而代之的是要保存一个32bits的Cookie。一个依据就是：如果本机没有保存任何秘密，如何验证正常的Session呢？如果不用秘密攻击者就可以制造出对应的第三个ACK，可以等待一段时间发送第三个ACK造成实际的攻击。现在有了更多的理解，看起来SynCookie不用本地缓存任何内容，包括不会生成的32bits的cookie。