SYN攻击属于DOS进击的一种，它的根本原理就是TCP和谈缺陷，经过发送很多的半衔接恳求，消耗CPU和内存资本。检测SYN攻击十分的便利，当你在服务器上看到很多的半衔接形态时，特殊源IP地址是随机的，根本上可以判定这是一次SYN攻击。SYN攻击除了能影响主机外，还可以影响路由器、防火墙等网络系统，现实上SYN攻击并不论目的是什么系统，只需这些系统翻开TCP效劳就可以施行。服务器接纳到衔接恳求(syn=j)，将此信息参加未衔接队列，并发送恳求包给客户(syn=k,ack=j+1)，此时进入SYN_RECV形态。当服务器未收到客户端确实认包时，重发恳求包，不断到超时，才将此条目从未衔接队列删除。共同IP诈骗，SYN进击能到达很好的结果，客户端在短工夫内伪造很多不存在的IP地址，向服务器不时地发送syn包，服务器答复确认包，并等候客户确实认，因为源地址是不存在的，服务器需求不时的重发直至超时，这些伪造的SYN包将长工夫占用未衔接队列，正常的SYN恳求被丢掉，目的系统运转迟缓，严峻者惹起网络梗塞甚至系统瘫痪。
　　SYN进击完成起来十分的简略，互联网上有很多现成的SYN进击东西。
　　Windows系统下的SYN东西：
　　以synkill.exe为例，运转东西，选择随机的源地址和源端囗，并填写目的电脑地址和TCP端囗，激活运转，很快就会发现目的系统运转迟缓。假如进击结果不分明，也许是目的计算机并未开启所填写的TCP端囗或许防火墙回绝拜访该端囗，此时可选择答应拜访的TCP端囗，Windows系统开放tcp139端囗，UNIX系统开放tcp7、21、23等端囗。
　　检测SYN进击十分的便利，当你在服务器上看到很多的半衔接形态时，特殊源IP地址是随机的，根本上可以判定这是一次SYN进击。我们运用系统自带的netstat东西来检测SYN进击：
　　# netstat -n -p TCP tcp　0　 0 10.11.11.11:23124.173.152.8:25882　 SYN_RECV　- tcp　0
　　0 10.11.11.11:23236.15.133.204:2577　 SYN_RECV　- tcp　0　 0
　　10.11.11.11:23127.160.6.129:51748　 SYN_RECV　- tcp　0　 0
　　10.11.11.11:23222.220.13.25:47393　 SYN_RECV　- tcp　0　 0
　　10.11.11.11:23212.200.204.182:60427 SYN_RECV　- tcp　0　 0
　　10.11.11.11:23232.115.18.38:278 SYN_RECV　- tcp　0　 0
　　10.11.11.11:23239.116.95.96:5122SYN_RECV　- tcp　0　 0
　　10.11.11.11:23236.219.139.207:49162 SYN_RECV　- ...
　　上面是在LINUX系统中看到的，许多衔接处于SYN_RECV形态(在WINDOWS系统中是SYN_RECEIVED形态)，源IP地址都是随机的，标明这是一种带有IP诈骗的SYN进击。
　　我们也可以经过下面的敕令直接检查在LINUX情况下某个端囗的未衔接队列的条目数：
　　#netstat -n -p TCP 　 grep SYN_RECV 　 grep :22 　 wc -l 324
　　显示TCP端囗22的未衔接数有324个，固然还远达不到系统极限，但应该惹起网吧管理员的留意。