syn攻击属于dos攻击的一种，它利用tcp协议缺陷，通过发送大量的半连接请求，耗费cpu和内存资源。syn攻击除了能影响主机外，还可以危害路由器、防火墙等网络系统，事实上syn攻击并不管目标是什么系统，只要这些系统打开tcp服务就可以实施。从上图可看到，服务器接收到连接请求（syn=j），将此信息加入未连接队列，并发送请求包给客户（syn=k,ack=j+1），此时进入syn_recv状态。当服务器未收到客户端的确认包时，重发请求包，一直到超时，才将此条目从未连接队列删除。配合ip欺骗，syn攻击能达到很好的效果，通常，客户端在短时间内伪造大量不存在的ip地址，向服务器不断地发送syn包，服务器回复确认包，并等待客户的确认，由于源地址是不存在的，服务器需要不断的重发直至超时，这些伪造的syn包将长时间占用未连接队列，正常的syn请求被丢弃，目标系统运行缓慢，严重者引起网络堵塞甚至系统瘫痪。

　　三、syn攻击工具

　　syn攻击实现起来非常的简单，互联网上有大量现成的syn攻击工具。

　　1、windows系统下的syn工具

　　以synkill.exe为例，运行工具，选择随机的源地址和源端囗，并填写目标机器地址和tcp端囗，激活运行，很快就会发现目标系统运行缓慢。如果攻击效果不明显，可能是目标机器并未开启所填写的tcp端囗或者防火墙拒绝访问该端囗，此时可选择允许访问的tcp端囗，通常，windows系统开放tcp139端囗，unix系统开放tcp7、21、23等端囗。

　　四、检测syn攻击

　　检测syn攻击非常的方便，当你在服务器上看到大量的半连接状态时，特别是源ip地址是随机的，基本上可以断定这是一次syn攻击。我们使用系统自带的netstat 工具来检测syn攻击：

　　# netstat -n -p tcp
　　tcp　0　 0 10.11.11.11:23　　124.173.152.8:25882　 syn_recv　-
　　tcp　0　 0 10.11.11.11:23　　236.15.133.204:2577　 syn_recv　-
　　tcp　0　 0 10.11.11.11:23　　127.160.6.129:51748　 syn_recv　-
　　tcp　0　 0 10.11.11.11:23　　222.220.13.25:47393　 syn_recv　-
　　tcp　0　 0 10.11.11.11:23　　212.200.204.182:60427 syn_recv　-
　　tcp　0　 0 10.11.11.11:23　　232.115.18.38:278　　 syn_recv　-
　　tcp　0　 0 10.11.11.11:23　　239.116.95.96:5122　　syn_recv　-
　　tcp　0　 0 10.11.11.11:23　　236.219.139.207:49162 syn_recv　-
　　...

　　上面是在linux系统中看到的，很多连接处于syn_recv状态（在windows系统中是syn_received状态），源ip地址都是随机的，表明这是一种带有ip欺骗的syn攻击。

　　我们也可以通过下面的命令直接查看在linux环境下某个端囗的未连接队列的条目数：

　　＃netstat -n -p tcp | grep syn_recv | grep :22 | wc -l
　　324 

　　显示tcp端囗22的未连接数有324个，虽然还远达不到系统极限，但应该引起管理员的注意。