bootp使用它只有四层，相当于五层协议中数据链路层和物理层(3)

0.000157 192.168.1.100 -> 192.168.1.102 tcp http > 1442 [syn, ack] seq=3291904936 ack=3325831829 win=5792 len=0。

1 = 10002)， 那我们服务器也必须要确认用戶端确实可以接收我们的包才行，所以也会发送出一个sequence (seq=20001) 給用户端，并且开始等待客户端的回应。

tcp-syn flood又称半开式连接攻击，每当我们进行一次标准的tcp连接(如www浏览，下载文件等)会有一个一个三次握手的过程，首先是请求方向服务方发送一个syn消息，服务方收到syn后，会向请求方回送一个syn-ack表示确认，当请求方收到syn-ack后则再次向服务方发送一个ack消息，一次成功的tcp连接由此就建立，可以进行后续工作了，如图所示:。

第三次握手：主机a收到后检查ack number是否正确，即第一次发送的seq number+1,以及位码ack是否为1，若正确，主机a会再发送ack number=(主机b的seq+1),ack=1，主机b收到后确认seq值与ack=1则连接建立成功。

第三次握手：192.168.1.116收到后检查ack number是否正确，即第一次发送的seq number+1,以及位码ack是否为1，若正确，192.168.1.116会再发送ack number=1739326487,ack=1，192.168.1.123收到后确认seq=seq+1,ack=1则连接建立成功。

tcp-syn flood又称半开式连接攻击，每当我们进行一次标准的tcp连接(如www浏览，下载文件等)会有一个一个三次握手的过程，首先是请求方向服务方发送一个syn消息，服务方收到syn后，会向请求方回送一个syn-ack表示确认，当请求方收到syn-ack后则再次向服务方发送一个ack消息，一次成功的tcp连接由此就建立，可以进行后续工作了，如图所示:。

而tcp-syn flood在它的实现过程中只有前两个步骤，当服务方收到请求方的syn并回送syn-ack确认消息后， 请求方由于采用源地址欺骗等手段，致使服务方得不到ack回应，这样，服务方会在一定时间处于等待接收请求方ack消息的状态，一台服务器可用的tcp连接是有限的，如果恶意攻击方快速连续的发送此类连接请求，则服务器可用tcp连接队列很快将会阻塞，系统可用资源，网络可用带宽急剧下降，无法向用户提供正常的网络服务。

B（SYN_RCVD->ESTABLISHED）接收到ACK后，连接建立完成

A状态变化：CLOSED->SYN_SEND->ESTABLISHED

B状态变化：CLOSED->SYN_RCVD->ESTABLISHED

特殊情况：连接建立的过程中，A发送完SYN后，进入SYN_SEND的状态，B有可能在接收SYN之前，也想主动建立连接而发送SYN给A，B也进入SYN_SEND状态，此后的状态转换为A和B在收到SYN后都由SYN_SEND状态转换为SYN_RCVD状态，并发送相应信息，然后正常建立连接。

DDOS 攻击之 SYN FLOOD 攻击

利用三次握手中的半连接状态，迫使服务器存在大量的半连接而没有法办继续创建其他连接，进而拒绝服务。半连接的存在是因为攻击者伪造 ip 发起握手，服务器将数据包回应给真实的 ip 完成第二次握手，由于真实 ip 并没有发起握手，所以会忽略该数据包，此时服务器就一直得不到下一次握手（直到重试超时），而半连接会占用 TCB（TCP Control Block ），而每个服务器的 TCB 是有有限的，当达到上限就会拒绝新的连接。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-89214-3.html