01 先上视频，看服务器怎么被“憋死”

• 正常TCP三次握手

1. SYN阶段：客户端向服务器发送SYN包，请求建立连接

2. SYN-ACK阶段：服务器收到SYN包后，回复SYN-ACK包，表示同意建立连接

3. ACK阶段：客户端收到SYN-ACK包后，发送ACK包确认，连接建立完成

三次握手确保了双方都了解对方的发送和接收能力，是可靠连接的基础。

• SYN洪水攻击原理

1. 攻击者发送大量SYN包到目标服务器

2. 服务器为每个SYN包分配资源并放入半开连接队列

3. 攻击者不发送最后的ACK包，导致连接处于半开状态

4. 服务器资源被耗尽，无法处理合法连接请求

SYN洪水攻击利用了TCP握手协议的漏洞，通过消耗服务器资源使服务不可用。

02 黑客 3 种打法

1. 直接耍赖：真实 IP 发完 SYN 就跑

2. IP 欺骗：伪造源地址，SYN-ACK 全扔进黑洞

3. 分布式僵尸：上万“肉鸡”一起冲，流量分散，更难定位

03 受害现场图

“游戏掉线，排位十连跪”

“电商大促，订单页打不开，老板暴走”

04 别慌！4 招保命

① SYN Cookie（免费神技）

Linux 一句话：

sysctl -w net.ipv4.tcp_syncookies=1

不分配内存先算账，ACK 对得上再开门。

② 防火墙“代握手”

让防火墙先扛三次握手，后端只看成功连接，攻击流量直接隔离。

③ 限速 + 首包丢弃

同一IP 1 秒>100 个 SYN？直接丢；再观察会不会重传，变态流量现原形。

④ 上云高防

阿里云/腾讯云/Cloudflare 全球清洗中心，2000G 带宽当“泄洪区”，源站安心睡大觉。

05 企业级 checklist（收藏）

06 一张图总结

阅读原文：https://mp.weixin.qq.com/s/3dX3wMTHpSdrN0V3XVTxPw