黑客攻防的检测SYN攻击

检测SYN攻击非常的方便，当你在服务器上看到大量的半连接状态时，特别是源IP地址是随机的，基本上可以断定这是一次SYN攻击。我们使用系统自带的netstat 工具来检测SYN攻击：
# netstat -n -p TCP tcp　0　 0 10111111:231241731528:25882　 SYN_RECV　- tcp　0
0 10111111:2323615133204:2577　 SYN_RECV　- tcp　0　 0
10111111:231271606129:51748　 SYN_RECV　- tcp　0　 0
10111111:232222201325:47393　 SYN_RECV　- tcp　0　 0
10111111:23212200204182:60427 SYN_RECV　- tcp　0　 0
10111111:232321151838:278 SYN_RECV　- tcp　0　 0
10111111:232391169596:5122SYN_RECV　- tcp　0　 0
10111111:23236219139207:49162 SYN_RECV　-
上面是在LINUX系统中看到的，很多连接处于SYN_RECV状态(在WINDOWS系统中是SYN_RECEIVED状态)，源IP地址都是随机的，表明这是一种带有IP欺骗的SYN攻击。
我们也可以通过下面的命令直接查看在LINUX环境下某个端囗的未连接队列的条目数：
#netstat -n -p TCP grep SYN_RECV grep :22 wc -l 324
显示TCP端囗22的未连接数有324个，虽然还远达不到系统极限，但应该引起管理员的注意。