它呢是DDOS中最古老的一种攻击手法，也是比较让人头疼的攻击手法。它是依赖TCP/IP协议，保证高可靠性的传输层协议。什么是高可靠性，就数据没丢失，数据不重复，数据不会出现错误等等。也就是说我们在和一个网站进行交互的时候，你访问它服务器的同时，服务器也要向你回传数据。
所以TCP协议需要进行三次握手，比如我是客户端，我要去访问一个网站，就相当于是访问这个网站的服务器，首先我会发起访问请求建立连接，然后服务端收到我的请求后就会跟我回复一个ACK报文，这个报文里头有一个随机的序列号。所以我必须还得回复一个准确的序列号，当然这个是由系统处理，当回复确认无误后我才算于服务端正式建立连接，现在我就可以去访问网站下的页面了。

那syn flood攻击 就是通过三次握手的环节上进行的。首先攻击者会利用大量的肉鸡于服务端建立连接，那这个时候服务端会认为这是用户的正常连接，然后接受到连接请求后，就再给你回复ACK报文，好，到这里的话正常情况是还需要用户再确认ACK的请求，才可以进行访问。但是，肉鸡到这个步骤的时候，哎 它就不管了，就不回应了，但服务器一直会等待第三次的回应。等待时间大概是30秒到2分钟之间，这段时间没有收到回应的话就会丢弃这个连接。当大量的肉鸡对你的服务器反复进行这样的操作，就会导致你的服务器负载过高，压力过大，就扛不住，最后宕机 崩溃。

就相当于你早上开门营业，完了有客人来问你这个东西多少钱，你回答它说十块，然后这个客人就一直不说话，也不买，一个两个人问你还忙的过来，但是一百人，一千人都如此循环反复的问你，你说你崩不崩溃是不是？
这种TCP攻击方式也不仅仅只限于真实肉鸡源，它还可以利用伪造IP，随机IP反射 SEQ猜测等等。可以发起syn flood ，ACK flood 很多很多，在TCP协议上都可以发起诸多变种攻击。
那怎么防护呢，这里我说一个比较简单的防护例子啊，它叫SYN Cookie 它的做用是在客户端和服务端有一道防火墙，首先它会代理这次的连接请求，由cookie校验，只有能够回复报文的，真实的客户端请求，cookie它才会放行，也可以做代理发包或者其他的信任请求。

大概的整体思路就是这么一个方案，我们的防护几乎都是通过模拟协议行为来对访问行为校验，当访问行为不能够对我们的正常协议进行校验相应时，那我们就会认为它是攻击者，当然啊，随着互联网的发展，攻击和防护都是对应的。所以以后可能还会出现新的攻击和对应的防护手法。这里我只举例说明防护中的一个简单方案，目前我们的防护手段远远不止这个，如果您遇到攻击无法自行处理，请联系我们解您的问题。