【正确答案】正确答案：SYN Flod是当前最流行的DoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻击)的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。要明白这种攻击的基本原理，就要从TCP连接建立的过程开始说起。 大家都知道，TCP与UDP不同，它是基于连接的，也就是说，为了在服务端和客户端之间传送TCP数据，必须先建立一个虚拟电路，也就是TCP连接，建立TCP连接的标准过程是这样的： (1)请求端(客户端)发送一个包含SYN标志的TCP报文，SYN即同步，同步报文会指明客户端使用的端口以及TCP连接的初始序号。 (2)服务器在收到客户端的SYN报文后，将返回一个SYN+ACK的报文，表示客户端的请求被接受，同时TCP序号被加1，ACK即确认。 (3)客户端也返回一个确认报文ACK给服务器端，同时TCP序号被加1，至此一个TCP连接建立。 以上的连接过程在TCP协议中被称为3次握手。问题就出在TCP连接的3次握手中，假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成)，这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接，这段时间的长度称为SYN Timecout，一般来说，这个时间是分钟数量级的(大约为30s～2min)；一个用户出现异常导致服务器的一个线程等待1min并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源一一数以万计的半连接，即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上，如果服务器的TCP／IP栈不够强大，最后的结果往往是堆栈溢出崩溃，即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求(毕竟客户端的正常请求比率非常小)，此时从正常客户的角度来看，服务器失去响应，这种情况称为：服务器端受到了SYN Flood攻击(SYN洪水攻击)。