关于SYN攻击防备技能，人们研讨得很早。归结起来，首要有两大类，一类是经过防火墙、路由器等过滤网关防护，另一类是经过加固TCP/IP和谈防备。但必需清晰的是，SYN进击不可以完全被阻止，我们所做的是尽能够的减轻SYN攻击的风险，除非将TCP和谈从新设计。
　　1、过滤网关防护
　　这里，过滤网关首要指明防火墙，当然路由器也能成为过滤网关。防火墙摆设在分歧网络之间，防备外来不合法进击和避免保护秘密信息外泄，它处于客户端和服务器之间，应用它来防护SYN攻击能起到很好的结果。过滤网关防护首要包罗超时设置，SYN网关和SYN署理三种。
　　·网关超时设置：
　　防火墙设置SYN转发超时参数(形态检测的防火墙可在形态内外面设置)，该参数远小于服务器的timeout工夫。当客户端发送完SYN包，效劳端发送确认包后(SYN+ACK)，防火墙假如在计数器到期时还未收到客户端确实认包(ACK)，则往服务器发送RST包，以使服务器从队列中删去该半衔接。值得留意的是，网关超时参数设置不宜过小也不宜过大，超时参数设置过小会影响正常的通信，设置太大，又会影响防备SYN攻击的结果，必需依据所在的网络使用情况来设置此参数。
　　·SYN网关：
　　SYN网关收到客户端的SYN包时，直接转发给服务器；SYN网关收到服务器的SYN/ACK包后，将该包转发给客户端，还以客户端的名义给服务器发ACK确认包。此时服务器由半衔接形态进入衔接形态。当客户端确认包抵达时，假如稀有数据转发，不然丢掉。现实上，服务器除了维持半衔接队列外，还要有一个衔接队列，假如发作SYN攻击时，将使衔接队列数量添加，但普通服务器所能接受的衔接数目比半衔接数目大得多，所以这种办法能有用地减轻对服务器的进击。
　　·SYN署理：
　　当客户端SYN包抵达过滤网关时，SYN署理并不转发SYN包，而是以服务器的名义自动答复SYN/ACK包给客户，假如收到客户的ACK包，标明这是正常的拜访，此时防火墙向服务器发送ACK包并完成三次握手。SYN署理现实上替代了服务器行止理SYN攻击，此时要求过滤网关本身具有很强的防备SYN进击才能。