攻击介绍：

由于资源的限制，TCP/IP栈的实现只能允许有限个TCP连接。而SYN Flood攻击正是利用这一点，它伪造一个SYN报文，其源地址是伪造的、或者一个不存在的地址，向服务器发起连接，服务器在收到报文后用SYN-ACK应答，而此应答发出去后，不会收到ACK报文，造成一个半连接。如果攻击者发送大量这样的报文，会在被攻击主机上出现大量的半连接，耗尽其资源，使正常的用户无法访问。直到半连接超时。在一些创建连接不受限制的环境里，SYN Flood具有类似的影响，它会消耗掉系统的内存等资源。

处理方法：

对TCP连接数进行统计，可以进行基于IP地址或区域的统计，当TCP的每秒新建连接速率超过指定的阈值或超过规定的总数目时，认为存在SYN Flood攻击，可以采用TCP代理技术或者采用新建连接的限制或总连接数的限制。

备注：对于这种需要进行统计分析的攻击防范，需要开启防火墙的统计功能。

interface-type interface-number ：接口类型和接口编号。

all ：所有的接口。表示开启基于所有接口的SYN Flood攻击防范功能。

alert-rate-number1 ：告警速率。 整数形式，取值范围为1～1000000，单位为pps。缺省值为16000pps。

max-rate-number1 ：最大速率。 整数形式，取值范围为1～1000000，单位为pps。缺省值为500000pps，最大速率的值必须大于告警速率。

tcp-proxy ：TCP代理功能。 缺省情况下，TCP代理为自动开启状态。当tcp-proxy的参数设置为auto时，TCP代理的启动状态为自动开启，即连接数超过告警速率时开启；当参数设置为on时，所有连接均使用代理连接；当参数设置为off时，不开启TCP代理功能。

alert-rate-number2 ：告警速率。 整数形式，取值范围为1～65535，单位为cps。缺省值为1000cps。

vpn-instance-name ：VPN实例的名称。 必须为已经创建的VPN实例名称。

max-rate-number2 ：最大速率。 整数形式，取值范围为1～65535，单位为cps。缺省值为50000cps。最大速率的值必须大于告警速率。

zone-name ：安全区域的名称。 必须为已经存在安全区域名称。

说明：

当设备开启SYN Flood攻击防范TCP代理功能，而网络中设备接口存在较小MTU时，请设置TCP-MSS值；如果MSS设置过大，TCP连接上传输的报文较大而又不允许分片时，报文可能会被网络中的设备丢弃，部分tcp业务将受到影响

配置

firewall defend syn-flood interface { interface-type interface-number | all } [ alert-rate alert-rate-number1 ] [ max-rate max-rate-number1 ] [ tcp-proxy { auto | off | on } ]

firewall defend syn-flood zone [ vpn-instance vpn-instance-name ] zone-name [ alert-rate alert-rate-number2 ] [ max-rate max-rate-number2 ] [ tcp-proxy { auto | on | off } ]

firewall defend syn-flood enable