SYN cookie攻击

发布时间:2026-01-29 10:11

服务器突然连接卡顿，新用户无法访问，查资源却没占满，可能是遭遇了SYN cookie攻击。这种攻击就像有人伪造大量预约信息占满餐厅座位，真实顾客反而无座可坐。不少运维新手对此没头绪，其实它是SYN攻击的变种，防御有特定技巧。

一、SYN cookie攻击本质

TCP连接时，服务器会给每个请求分配一个SYN cookie作为“预约号”。SYN cookie攻击就是攻击方伪造大量不同的“预约号”发请求，服务器收到后生成回应并保留资源，等待确认。这些虚假请求永远不会确认，服务器的半连接资源被持续占用，就像餐厅座位被虚假预约占满，真实客人来了只能被拒之门外，最终导致新连接无法建立。

二、SYN cookie攻击信号

新连接无法建立，老用户能正常使用，但新用户访问时一直转圈，最终显示连接超时。半连接队列爆满，Linux输入netstat-an|grepSYN_RECV，Windows用netstat-ano|findstr SYN_RECV，会看到大量等待确认的连接。资源占用异常，服务器CPU使用率轻度上升，但半连接数远超正常范围，通常超过1000个就需警惕。

三、Linux防御

开启内核SYNcookie防护，输入echo1>/proc/sys/net/ipv4/tcp_syncookies，让服务器只给合法请求分配资源。调整半连接队列大小，输入echo1024>/proc/sys/net/ipv4/tcp_max_syn_backlog，扩大队列容量。用iptables限制请求频率，输入iptables-AINPUT-ptcp--syn-mlimit--limit2/s-jACCEPT，每秒只接收2个新请求，输入sysctl-p保存配置。

四、Windows防御

打开高级防火墙，新建入站规则，选自定义TCP规则，协议类型为TCP，配置仅允许SYN标志的请求。设置单IP访问频率限制，在作用域里添加信任IP，非信任IP每秒请求超3次就拦截。通过组策略编辑器，找到计算机配置-网络-TCPIP设置，启用SYN攻击保护，将保护级别设为中，自动拦截异常请求。

五、日常防护

定期更新服务器系统，修补TCP协议相关漏洞。开启连接监控，设置SYN_RECV状态连接数告警，超阈值及时提醒。修改远程连接默认端口，将22、3389等端口改成随机高端口，降低被攻击目标的概率。重要业务服务器部署高防IP，由高防节点过滤恶意SYN请求后再转发。

SYNcookie攻击是针对TCP连接的精准打击，看似复杂却有明确防御方向。核心是开启系统自带的SYN防护功能，配合频率限制和队列调整，就能有效抵御。Linux的内核配置和Windows的防火墙设置都很简单，新手按步骤操作就能快速见效。