• 博客信息：博客地址为 https://www.akamai.com/blog ，安全相关内容在 https://www.akamai.com/blog/s... ，2025 年 4 月 1 日发布了一篇关于 SYN-ACK 攻击剖析的文章，作者是 Chad Seaman，他是 Akamai 安全情报响应团队的首席安全研究员和团队负责人，自称“互联网垃圾桶潜水员”，热爱在网络中探索，其职业生涯从程序员开始，后专注于安全领域，目前从事恶意软件调查、逆向工程、漏洞研究、DDoS 和网络犯罪调查等工作，喜欢飞行飞机、在远处戳破纸张以及在自然中活动。
• TCP/IP 相关：TCP/IP 是现代计算机网络的关键技术，用于计算机间的信息请求和接收，包含错误检查、数据重传等重要功能。本文只聚焦于初始的 TCP 三次握手过程，这与文章主题相关。
• TCP 三次握手过程：网络中的主机通过 TCP 三次握手来协商连接，以实现网络通信的成功发送和接收，并设置会话准备数据交换。客户端发送 SYN 包测试可达性并请求连接，服务器回复 SYN-ACK 包，客户端最后回复 ACK 包完成握手，连接即可用于双向数据传输，TCP 通信通常通过 IP 协议进行。
• 攻击者利用 SYN 包：攻击者通过伪造 SYN 包的源 IP 地址，使服务器向受害者 IP 发送 SYN-ACK 包，从而利用 TCP 握手过程进行攻击。现实中 TCP 设计用于不可靠网络，单个伪造的 SYN 可能触发服务器快速连续发送多个 SYN-ACK 包，其数量和发送速度可配置，难以估计受害者收到的 SYN-ACK 数量。
• 反射相关：在 CLDAP 反射等情况下，攻击包到达受害者的大小比攻击者发送的大很多，而 SYN-ACK 反射中到达受害者的包大小与攻击者发送的相近，但网络中的路由器可能会修改 TCP 包增加额外信息，导致受害者观察到的流量绝对大小增加。测试中发现攻击者发送的 SYN 包可能被网络设备修改，通过使用不同的 TCP 选项可增加 SYN-ACK 响应大小，从而实现一定程度的放大。
• SYN-ACK 放大：通过针对已分配但未使用的 IP 空间，攻击者可充分利用 TCP 重传努力，增加放大因子和带宽消耗。正常机器收到来自反射器的非状态 SYN-ACK 会回复 RST 包，若目标 IP 未使用，反射器会重传 SYN-ACK 包，测试中发现攻击者发送 40 字节的 SYN 可能导致 5 到 7 个 44 字节的 SYN-ACK 到达受害者网络，最大放大因子可达 770%。
• TFO、填充与放大：讨论 TCP Fast Open（TFO）时发现，利用 TFO 饼干可触发更大的响应，但由于 TFO 实现的疏忽，在不同场景下 TFO 启用的攻击可能更可取。攻击者在某些情况下利用 TFO 启用的反射器可能会有收获，TFO 启用的主机在收到受害者的 RST 后会重置握手饼干措施，这会影响反射包的大小和放大因子。
• 过度缓解 SYN-ACK 反射攻击的危害：缓解 SYN-ACK 反射攻击需谨慎，过度缓解可能对生产网络中的真实客户端和 TCP 会话造成自我伤害，导致连接问题、性能下降和合法主机/用户被阻止，其影响可能比攻击本身更严重。对于 TCP 影响的攻击过度缓解也可能给受害者带来意外结果，真正的解决办法需要 IETF 和网络运营商的合作。
• 总结：反射 SYN-ACK 攻击虽不新但仍需关注，组织应考虑缓解能力，避免过度缓解导致自身网络出现问题，同时要认识到这类攻击的复杂性和解决难度。