TCP SYN Flood是一种常见，而且有效的远端(远程)拒绝服务(Denial of Service)攻击方式，它透过一定的操作破坏TCP三次握手建立正常连接，占用并耗费系统资源，使得提供TCP服务的主机系统无法正常工作。

　　一、如何判断

　　1、服务端无法提供正常的TCP服务。连接请求被拒绝或超时。

　　2、透过 netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a， S[a]}'命令检查系统，发现有大量的SYN_RECV连接状态。

　　检查服务器链接，SYN_RECV数量异常，访问服务器网页特别慢，甚至超时，所以基本判定是SYN_RECV攻击。

　　二、解决方法

　　1，增加未完成连接队列（q0)的最大长度。

　　echo1280&gt；/proc/sys/net/ipv4/tcp_max_syn_backlog

　　2， 启动SYN_cookie。

　　echo 1&gt；/proc/sys/net/ipv4/tcp_syncookies

　　这些是被动的方法，治标不治本。而且加大了服务器的负担，但是可以避免被拒绝攻击（只是减缓）

　　治本的方法是在防火墙上做手脚。但是现在能在一定程度上防住syn flood攻击的防火墙都不便宜。并且把这个命令加入"/etc/rc.d/rc.local"文件中

　　如果对 /proc/sys/net/ipv4 下的配置文件进行解释，可以参阅 LinuxAid技术站的文章。查看本文全文也可以参阅。

　　关于 syn cookies， 请参阅 &lt；&gt；http：//cr.yp.to/syncookies.html

　　也许使用mod_limitipconn.c来限制apache的并发数也会有一定的帮助。

　　2. iptables的设置，引用自CU

　　防止同步包洪水（Sync Flood）

　　# iptables -A FORWARD -p tcp –syn -m limit –limit1/s -j ACCEPT

　　也有人写作

　　#iptables -A INPUT -p tcp –syn -m limit –limit 1/s-j ACCEPT

　　–limit 1/s 限制syn并发数每秒1次，可以根据自己的需要修改

　　防止各种端口扫描

　　# iptables -A FORWARD -p tcp –tcp-flagsSYN，ACK，FIN，RST RST -m limit –limit 1/s -j ACCEPT

　　Ping洪水攻击（Ping of Death）

　　# iptables -A FORWARD -p icmp –icmp-type echo-request-m limit –limit 1/s -j ACCEPT