DoS (Denial of Service Denial of Service) og DDoS (Distributed Denial of Service Distributed Denial of Service) angreb er store websites og web-server sikkerhedstrusler. Februar 2000, Yahoo, havde Amazon, CNN og andre eksempler på angreb, er blevet skåret i historien om store sikkerhedshændelser.
SYN Flood angreb på grund af dens effekt, er blevet det mest populære middel DoS og DDoS angreb.
TCP SYN Flood Brug af protokol fejl, at sende et stort antal forfalskede TCP forbindelse anmodninger, ved udtømning af de angribende side, ude af stand til at besvare eller behandle en normal service anmodning. En normal TCP-forbindelse kræver tre-vejs håndtryk, den første klient sender en SYN pakke flag, skal serveren returnerer en SYN / ACK svar pakke at kundens anmodning er godkendt, den endelige kunde og derefter returnerer en bekræftelse pakke ACK, Denne komplette TCP-forbindelse. Send et svar pakke i server side, hvis klienten ikke sender en bekræftelse, vil serveren vente til timeout under semi-sammenhængende tilstand holdes i en buffer kø pladsen er begrænset, hvis et stort antal af SYN pakker sendes til serveren svarer ikke efter vil gøre server side TCP hurtig udtømning af ressourcer, hvilket resulterer i en normal forbindelse ikke kan komme ind, eller endda forårsage servernedbrud.
Firewall er normalt bruges til at beskytte det interne netværk mod uautoriseret adgang eksterne netværk, som er beliggende mellem klient og server, så brug en firewall til at forhindre DoS-angreb kan effektivt beskytte det indre server. Mod SYN Flood er firewallbeskyttelse normalt tre måder: SYN Gateway, Gateway, og SYN SYN passive relæ.
SYN Gateway Firewall kundens SYN pakke modtagne direkte overføres til serveren, firewall, før serveren SYN / ACK pakke, vil hånden blive SYN / ACK pakke fremsendelse til kunden på den anden side at navnet på den klient til serveren loopback en ACK pakke til at fuldføre TCP tre-vejs håndtryk, forbindelsen status til server side og en halv i forbindelsen tilstand. Når kunden den reelle ACK pakken ankommer, er de indberettede data til serveren, ellers kasseres pakken. Fordi serveren kan bære forbindelsen status er meget højere end de semi-forbundet, så denne metode effektivt kan reducere angreb på serveren.
Passive SYN Gateway SYN anmodning for at indstille firewall time-out parametre, det er meget mindre end den server timeout-periode. Firewall Client er ansvarlige for fremsendelse af SYN pakke sendes til serveren, serveren sendes til kundens SYN / ACK pakke, og kundens ACK pakke sendes til serveren. Så hvis en kunde, når timeren udløber i firewall ikke at sende ACK pakker, er det firewall sende RST pakker til serveren, så serveren fra køen ved at slette semi-forbindelsen. Som firewall timeout parameter er meget mindre end den tid-out periode for serveren, så den effektivt kan forhindre SYN Flood angreb.
SYN Relay firewall modtaget efter kundens SYN pakke ikke er fremsendt til serveren, men derefter tage initiativ til at registrere status oplysninger tilbage til kunden for at sende SYN / ACK pakke, hvis de modtagne kundens ACK pakke, der er en normal besøg af firewall sende SYN pakker til serveren og færdiggøre de tre-vejs handshake. Denne agent bruges af firewall som en klient og server-side, kan du ikke helt filter sendes til serveren med forbindelsen.