从上面的分析,可以看出TCP SYN Flood远程拒绝服务攻击具有以下特点:
针对TCP/IP协议的薄弱环节进行攻击;
发动攻击时,只要很少的数据流量就可以产生显著的效果;
攻击来源无法定位;
在服务端无法区分TCP连接请求是否合法。
二、系统检查
一般情况下,可以一些简单步骤进行检查,来判断系统是否正在遭受TCP SYN Flood攻击。
1、服务端无法提供正常的TCP服务。连接请求被拒绝或超时;
2、通过 netstat -an 命令检查系统,发现有大量的SYN_RECV连接状态。
三、防范
如何才能做到有效的防范呢?
1、 TCP Wrapper
使用TCP Wrapper(只有unix-like系统支持该功能,NT?可怜)可能在某些有限的场合下有用,比如服务端只处理有限来源IP的TCP连接请求,其它未指定来源的连接请求一概拒绝。这在一个需要面向公众提供服务的场合下是不适合的。而且攻击者可以通过IP伪装(IP Spoof)来直接攻击受TCP Wrapper保护的TCP服务,更甚者可以攻击者可以伪装成服务器本身的地址进行攻击。
字串9
2、增加TCP Backlog容量
增加TCP Backlog容量是一种治标不治本的做法。它一方面要占用更多的系统内存,另一方面延长了TCP处理缓存队列的时间。攻击者只要不停地的进行SYN Flood一样可以达到拒绝服务的目的。
3、 ISP接入
所有的ISP在边界处理进入的主干网络的IP数据包时检测其来源地址是否合法,如果非指定来源IP地址范围,可以认为是IP Spoofing行为并将之丢弃。 
在实际环境中,应为涉及的范围太过广泛,该方案无法实施。这是一个社会问题而非技术问题。
文章来源地址:http://www.hackhome.com/html/wlcl/wlaq/2006/0610/26460.html
