SYN flood là một hình thức tấn công từ chối dịch vụ, trong đó kẻ tấn công sẽ gửi một kế thừa của các yêu cầu SYN đến hệ thống của một mục tiêu .

When a client attempts to start a TCP connection to a server, the client and server exchange a series of messages which normally runs like this: Khi một khách hàng cố gắng để bắt đầu một kết nối TCP tới một máy chủ, các khách hàng và trao đổi máy chủ một loạt các tin nhắn mà thường chạy như thế này:

1. The client requests a connection by sending a SYN ( synchronize ) message to the server. Các yêu cầu của khách hàng một kết nối bằng cách gửi một SYN (đồng bộ hóa) thông báo đến máy chủ.
2. The server acknowledges this request by sending SYN-ACK back to the client. Máy chủ thừa nhận yêu cầu này bằng cách gửi SYN-ACK lại cho khách hàng.
3. The client responds with an ACK , and the connection is established. Các khách hàng đáp ứng với ACK một, và kết nối được thành lập.

This is called the TCP three-way handshake , and is the foundation for every connection established using the TCP protocol. Điều này được gọi là TCP ba cách bắt tay, và là nền tảng cho mọi thiết lập kết nối bằng cách sử dụng giao thức TCP.

The SYN flood is a well known type of attack and is generally not effective against modern networks. Lũ SYN là một loại hình nổi tiếng của vụ tấn công và nói chung là không có hiệu quả chống lại mạng lưới hiện đại. It works if a server allocates resources after receiving a SYN , but before it has received the ACK . Nó hoạt động nếu máy chủ phân bổ nguồn lực sau khi nhận được một SYN nhưng trước khi nó đã nhận được ACK

There are two methods, but both involve the server not receiving the ACK . Có hai phương pháp, nhưng cả hai liên quan đến các máy chủ không nhận được ACK A malicious client can skip sending this last ACK message. Một khách hàng độc hại này có thể bỏ qua việc gửi tin nhắn ACK cuối. Or by spoofing the source IP address in the SYN , it makes the server send the SYN-ACK to the falsified IP address, and thus never receive the ACK . Hoặc bằng cách giả mạo nguồn địa chỉ IP trong SYN sự, nó làm cho các máy chủ gửi SYN-ACK tới địa chỉ IP giả mạo, và vì vậy không bao giờ nhận được ACK In both cases the server will wait for the acknowledgement for some time, as simple network congestion could also be the cause of the missing ACK . Trong cả hai trường hợp, các máy chủ sẽ chờ xác nhận một thời gian, làm tắc nghẽn mạng đơn giản cũng có thể là nguyên nhân của các ACK mất tích.

If these half-open connections bind resources on the server, it may be possible to take up all these resources by flooding the server with SYN messages. Nếu các nửa kết nối kết tài nguyên mở trên máy chủ, có thể là có thể mất đến tất cả các tài liệu này do lũ lụt các máy chủ với thông điệp SYN Once all resources set aside for half-open connections are reserved, no new connections (legitimate or not) can be made, resulting in denial of service. Sau khi tất cả các nguồn tài nguyên dành cho nửa mở các kết nối được bảo lưu, không có các kết nối mới (hợp pháp hay không) có thể được thực hiện, kết quả từ chối dịch vụ. Some systems may malfunction badly or even crash if other operating system functions are starved of resources this way. Một số hệ thống có thể sụp đổ sự cố nghiêm trọng hoặc thậm chí nếu hệ điều hành các chức năng khác đang thiếu các nguồn lực theo cách này.

The technology often used in 1996 for allocating resources for half open TCP connections involved a queue which was often very short (eg, 8 entries long ) with each entry of the queue being removed upon a completed connection, or upon expiry (eg, after 3 minutes [ 2 ] ). Công nghệ này thường được sử dụng vào năm 1996 để phân bổ nguồn lực cho một nửa các kết nối TCP mở tham gia vào một hàng đợi được thường rất ngắn (ví dụ, 8 entries dài) với mỗi mục nhập của hàng đợi đang được gỡ bỏ sau khi một kết nối hoàn thành, hoặc khi hết thời hạn (ví dụ, sau 3 phút [2]). When the queue was full, further connections failed. Khi hàng đợi đã đầy đủ, các kết nối không thành công hơn nữa. With the examples above, all further connections would be prevented for 3 minutes by sending a total of 8 packets. Với ví dụ trên, tất cả các kết nối tiếp sẽ được ngăn chặn cho 3 phút bằng cách gửi một tổng số 8 gói. A well-timed 8 packets every 3 minutes would prevent all further TCP connections from completing. A well-timed 8 gói mỗi 3 phút sẽ ngăn chặn tất cả các kết nối TCP hơn nữa từ hoàn thành. This allowed for a Denial of Service attack with very minimal traffic. Điều này cho phép cho một cuộc tấn công từ chối dịch vụ với lưu lượng rất tối thiểu.

Proposed countermeasures include SYN cookies or limiting the number of new connections from a source per timeframe. Đề xuất biện pháp đối phó bao gồm các cookie SYN hoặc hạn chế số lượng kết nối mới từ một nguồn cho mỗi khung thời gian.

Reflector routers can also be used as attackers, instead of client machines. Router Reflector cũng có thể được sử dụng như là kẻ tấn công, thay vì máy của khách hàng.  

When a client attempts to start a TCP connection to a server, the client and server exchange a series of messages which normally runs like this: Khi một khách hàng cố gắng để bắt đầu một kết nối TCP tới một máy chủ, các khách hàng và trao đổi máy chủ một loạt các tin nhắn mà thường chạy như thế này:

1. The client requests a connection by sending a SYN ( synchronize ) message to the server. Client gửi một gói tin SYN (đồng bộ hóa) yêu cầu kết nối thông báo đến máy chủ.
2. The server acknowledges this request by sending SYN-ACK back to the client. Máy chủ thừa nhận yêu cầu này bằng cách gửi SYN-ACK lại cho khách hàng.
3. The client responds with an ACK , and the connection is established. Các khách hàng đáp ứng với ACK một, và kết nối được thành lập.

This is called the TCP three-way handshake , and is the foundation for every connection established using the TCP protocol. Điều này được gọi là TCP ba cách bắt tay, và là nền tảng cho mọi thiết lập kết nối bằng cách sử dụng giao thức TCP.

 

When a client attempts to start a TCP connection to a server, the client and server exchange a series of messages which normally runs like this: Khi một khách hàng cố gắng để bắt đầu một kết nối TCP tới một máy chủ, các khách hàng và trao đổi máy chủ một loạt các tin nhắn mà thường chạy như thế này:

1. The client requests a connection by sending a SYN ( synchronize ) message to the server. Client gửi một gói tin SYN (đồng bộ hóa) yêu cầu kết nối thông báo đến máy chủ.
2. The server acknowledges this request by sending SYN-ACK back to the client. Máy chủ thừa nhận yêu cầu này bằng cách gửi SYN-ACK lại cho khách hàng.
3. The client responds with an ACK , and the connection is established. Các khách hàng đáp ứng với ACK một, và kết nối được thành lập.

This is called the TCP three-way handshake , and is the foundation for every connection established using the TCP protocol. Điều này được gọi là TCP ba cách bắt tay, và là nền tảng cho mọi thiết lập kết nối bằng cách sử dụng giao thức TCP.

 

 

Để thiết lập một kết nối, TCP sử dụng một quy trình bắt tay 3 bước (3-way handshake) Trước khi client thử kết nối với một server, server phải đăng ký một cổng và mở cổng đó cho các kết nối: đây được gọi là mở bị động. Một khi mở bị động đã được thiết lập thì một client có thể bắt đầu mở chủ động. Để thiết lập một kết nối, quy trình bắt tay 3 bước xảy ra như sau:

1. Client yêu cầu mở cổng dịch vụ bằng cách gửi gói tin SYN (gói tin TCP) tới server, trong gói tin này, tham số sequence number được gán cho một giá trị ngẫu nhiên X.
2. Server hồi đáp bằng cách gửi lại phía client bản tin SYN-ACK, trong gói tin này, tham số acknowledgment number được gán giá trị bằng X + 1, tham số sequence number được gán ngẫu nhiên một giá trị Y
3. Để hoàn tất quá trình bắt tay ba bước, client tiếp tục gửi tới server bản tin ACK, trong bản tin này, tham số sequence number được gán cho giá trị bằng X + 1 còn tham số acknowledgment number được gán giá trị bằng Y + 1

Tại thời điểm này, cả client và server đều được xác nhận rằng, một kết nối đã được thiết lập.
 

cho em hỏi ké đc ko mấy cái flag kia

cho em hỏi trong TCP cờ URGENT dùng trong trường hợp nào anh, em chưa thấy cờ này,
 

cờ PUSH thì nghe nói dùng trong console để hiển thỉ thông tin, mà dùng console đâu có bắt gói đc nên ko biết phải vậy ko?,