美國獨立服務器TCP傳輸控制協議是面向連接的可靠的傳送服務，英文名是 Transport Control Protocol。美國獨立服務器數據傳送時是分段進行的，交換數據必須建立一個會話，它用比特流通信，即數據被作為無結構的字節流，通過每個TCP傳輸的字段指定順序號以獲得可靠性，接下來美聯科技小編就來講解下美國獨立服務器TCP協議可能造成的漏洞以及防御方式。

TCP協議是攻擊者攻擊方法的靈感，主要問題存在于美國獨立服務器TCP的三次握手協議上，正常的TCP三次握手過程如下，A為請求端，B為被請求端：

• A發送一個初始序號ISNa的SY報文
• B收到A的SYN報文后，發送給A初始序列號ISNb，同時將 ISAT+1作為確認的SYN+ACK報文
• A對SYN+ACK報文進行確認，同時將ISNa+1，ISNb+1發送給B

經過以上三個握手，美國獨立服務器TCP協議的連接完成。

針對TCP協議的攻擊的基本原理是：TCP協議三次握手沒有完成的時候，被請求端B一般都會重試并等待段時，這常常被用來對美國獨立服務器進行DOS、Land攻擊，一個特別打造的SYN包其原地址和目標地址都被設置成某一個服務器地址，此舉將導致接收的美國獨立服務器向它自己的地址發送SYN-ACK消息，結果該地址又發回ACK消息并創建一個空連接，每一個這樣的連接都將保留直至超時。

一、攻擊實現

在 SYN Flood攻擊中，黑客機器向受害美國獨立服務器發送大量偽造源地址的TCP SYN報文，受害美國獨立服務器分配必要的資源，然后向源地址返回SYN+ACK包，并等待源端返回ACK包。由于源地址是偽造的，所以源端永遠都不會返回ACK報文，受害美國獨立服務器繼續發送SYN+ACK包，并將半連接放入端口的積壓隊列中。

雖然一般美國獨立服務器都有超時機制和默認的重傳次數，但是由于端口的半連接隊列的長度是有限的，如果不斷地向受害主機發送大量的 TCP SYN報文，半連接隊列就會很快填滿，美國獨立服務器拒絕新的連接，將導致該端口無法響應其他機器進行的連接請求，最終使受害美國獨立服務器的資源耗盡。

二、防御方法

針對 SYN Flood的攻擊防范措施主要有兩種，通過美國獨立服務器配置防火墻、路由器等過濾網關防護，以及通過加固TCP/IP協議棧來進行防范。

網關防護的主要技術有：SYN- cookie技術和基于監控的源地址狀態、縮短 SYN Timeout時間。SYN- cookie技術實現了美國獨立服務器無狀態的握手，避免了 SYN Flood的資源消耗。基于監控的源地址狀態技術能夠對每一個連接美國獨立服務器的IP地址的狀態進行監控，主動采取措施避免 SYN Flood攻擊的影響。

為防范SYN攻擊， 美國獨立服務器Windows系統的TCP/IP協議內嵌了SynAttackProtect機制。SynAttackProtect機制是通過關閉某些 socket選項，增加額外的連接指示和成少超時時間，使美國獨立服務器系統能處理更多的SYN連接，以達到防范SYN攻擊的目的。

當SynAttackProtectt值為0或不設置時，美國獨立服務器系統不受SynAttackProtect保護。當SynAttackProtect值為1時，美國獨立服務器系統通過減少重傳次數和延遲未連接時路由緩沖項防范SYN攻擊。

以上內容就是關于美國獨立服務器TCP協議可能造成的漏洞以及防御方式的介紹，個人用戶還可以使用一些第三方的個人防火墻，而對于企業用戶，購買企業級防火墻硬件，都可有效地防范針對美國獨立服務器發起的TCP三次握手的拒絕式服務攻擊。

關注美聯科技，了解更多IDC資訊！