DoS (Denial of Service Denial of Service) og DDoS (Distributed Denial of Service Distributed Denial of Service) angrep er stor skala nettsteder og web server sikkerhetstrusler. Februar 2000, Yahoo, hadde Amazon, CNN og andre eksempler på angrep, blitt skåret i historien om store sikkerhetshendelser.
SYN Flood angrep på grunn av sin effekt, har blitt den mest populære gjennom DoS og DDoS angrep.
TCP SYN Flood Bruke protokoll feil, å sende et stort antall falske TCP forbindelse forespørsler, laget av uttømming av den angripende side, ute av stand til å svare på eller håndtere en normal service forespørsel. En normal TCP-tilkobling krever tre-veis håndtrykk, den første klienten sender en pakke som inneholder SYN flagget, så serveren returnerer en SYN / ACK-pakke som svar på forespørselen er akseptert, returnerer den endelige klienten og deretter en bekreftelse pakke ACK, Dette komplette TCP-tilkobling. Send svar pakke i server side, dersom kunden ikke sender bekreftelse, vil serveren vente til pause, i løpet av semi-koblet tilstand lagres i en buffer kø plassen er begrenset, hvis et stort antall SYN pakker sendes til serveren svarer ikke etter vil gjøre serversiden TCP rask uttømming av ressurser, som resulterer i en normal sammenheng kan ikke gå inn, eller til og med føre til at serveren krasjer.
Firewall er vanligvis brukes til å beskytte det interne nettverket mot uautorisert tilgang eksterne nettverk, som ligger mellom klienten og serveren, så bruk en brannmur for å hindre DoS angrep kan effektivt beskytte den interne serveren. Mot SYN Flood, er Brannveggbeskyttelse vanligvis tre måter: SYN Gateway, Gateway, og SYN SYN passive stafett.
SYN Gateway brannmur kundens SYN pakken mottatt, direkte overført til serveren, brannmuren før serveren SYN / ACK-pakken, vil hånden bli SYN / ACK-pakken videresending til klienten, på den andre siden av navnet på klienten til serveren loopback en ACK-pakke til fullføre TCP treveis håndtrykket, tilkoblingsstatusen til server side og en halv i forbindelse staten. Når klienten den virkelige ACK pakken ankommer, blir dataene overført til serveren, ellers forkaste pakken. Fordi serveren kan bære tilkoblingsstatusen er mye høyere enn den semi-tilkoblet, så denne metoden effektivt kan redusere angrepet på serveren.
Passive SYN Gateway SYN forespørsel å angi brannmuren tidsavbrudd parametere, er det mye mindre enn det tjeneren tidsavbruddsperioden. Firewall Client er ansvarlig for å videresende den SYN pakken sendes til serveren, sendte serveren til kundens SYN / ACK-pakke, og klienten ACK-pakker sendes til serveren. Således, hvis klienten når timeren utløper i brannmuren ikke å sende ACK-pakker, er brannmuren sender RST pakker til serveren, slik at serveren fra køen ved å slette den semi-tilkoblingen. Som brannmur tidsavbruddet parameteren er mye mindre enn pause periode for serveren, slik at den kan effektivt hindre SYN Flood angrep.
SYN Relay brannmur mottatt etter kundens SYN pakken ikke videresendes til serveren, men da tar initiativ til å registrere status informasjonen tilbake til klienten for å sende SYN / ACK-pakke, hvis det mottatte klientens ACK pakken, er at en normal besøk av brannmuren send SYN pakker til serveren og fullføre de tre-veis håndtrykk. Denne agenten brukes av brannmuren som en klient og server-side-tilkobling, kan du ikke helt filteret sendes til serveren med forbindelsen.