參考：SYN Flood攻擊與防御方法

1． 無效連接監(jiān)視釋放

這種方法不停監(jiān)視系統(tǒng)的半開連接和不活動連接，當達到一定閾值時拆除這些連接，從而釋放系統(tǒng)資源。這種方法對于所有的連接一視同仁，而且由于SYN Flood造成的半開連接數(shù)量很大，正常連接請求也被淹沒在其中被這種方式誤釋放掉，因此這種方法屬于入門級的SYN Flood方法。

2． 延緩任務控制塊（TCB）分配方法

從前面SYN Flood原理可以看到，消耗服務器資源主要是因為當SYN數(shù)據(jù)報文一到達，系統(tǒng)立即分配TCB，從而占用了資源。而SYN Flood由于很難建立起正常連接，因此，當正常連接建立起來后再分配TCB則可以有效地減輕服務器資源的消耗。常見的方法是使用Syn Cache和Syn Cookie技術。

• Syn Cache技術：
  這種技術是在收到SYN數(shù)據(jù)報文時不急于去分配TCB，而是先回應一個SYN ACK報文，并在一個專用HASH表（Cache）中保存這種半開連接信息，直到收到正確的回應ACK報文再分配TCB。在FreeBSD系統(tǒng)中這種Cache每個半開連接只需使用160字節(jié)，遠小于TCB所需的736個字節(jié)。在發(fā)送的SYN ACK中需要使用一個己方的Sequence Number，這個數(shù)字不能被對方猜到，否則對于某些稍微智能一點的Syn Flood攻擊軟件來說，它們在發(fā)送Syn報文后會發(fā)送一個ACK報文，如果己方的Sequence Number被對方猜測到，則會被其建立起真正的連接。因此一般采用一些加密算法生成難于預測的Sequence Number。

• Syn Cookie技術：
  對于SYN攻擊，Syn Cache雖然不分配TCB，但是為了判斷后續(xù)對方發(fā)來的ACK報文中的Sequence Number的正確性，還是需要使用一些空間去保存己方生成的Sequence Number等信息，也造成了一些資源的浪費。
  Syn Cookie技術則完全不使用任何存儲資源，這種方法比較巧妙，它使用一種特殊的算法生成Sequence Number，這種算法考慮到了對方的IP、端口、己方IP、端口的固定信息，以及對方無法知道而己方比較固定的一些信息，如MSS、時間等，在收到對方的ACK報文后，重新計算一遍，看其是否與對方回應報文中的（Sequence Number-1）相同，從而決定是否分配TCB資源。

3． 使用SYN Proxy防火墻

Syn Cache技術和Syn Cookie技術總的來說是一種主機保護技術，需要系統(tǒng)的TCP/IP協(xié)議棧的支持，而目前并非所有的操作系統(tǒng)支持這些技術。因此很多防火墻中都提供一種SYN代理的功能，其主要原理是對試圖穿越的SYN請求進行驗證后才放行。