syn攻擊防御方法？

syn攻擊利用TCP協議的缺陷，通過發送大量的半連接請求，耗費CPU和內存資源。

syn flood防御方法：SYN cookie/proxy

syn cookie 它的防御對象是syn flood，類別是：DOS攻擊方式的防范手段，防范原理：修改TCP服務器端的三次握手協議

syn cookie 是對TCP服務器端的三次握手協議做了一些修改，專門用來防范SYN Flood 攻擊的手段。

它的原理是：在TCP服務器收到TCP syn包并返回TCP SYN+ACK包時，不分配一個專門的數據區，而是根據這個SYN包計算出一個cookie值，在收到TCP ACK包時，TCP 服務器在根據那個cookie值檢查這個TCP ACK包的合法性。如果合法，再分配專門的數據區進行處理未來的TCP連接。

其實最常用的一個手段就是優化主機系統設置。比如降低SYN timeout時間，使得主機盡快釋放半連接的占用或者采用SYN cookie設置，如果短時間內收到了某個IP的重復SYN請求，我們就認為受到了攻擊。

另外合理的采用防火墻設置等外部網絡也可以進行攔截。