下面关于synflood攻击的说法, 错误的是()

A. 服务端由于连接队列被占满而不能对外服务 B. 不但能攻击TCP服务, 还可以攻击UDP服务 C. 大量连接处于SYN_RECV状态 D. 使用硬件防火墙可以一定程度上抵御攻击

正确答案: B

分析: 

synflood攻击(即SYN Flood攻击) SYN洪水攻击, 是基于有连接的, 因此它只能攻击TCP服务, 不能攻击UDP服务

SYN洪水攻击问题出现在TCP连接的三次握手中.

假设一个用户向服务器发送了SYN报文后突然死机或掉线, 那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK的报文的, 即造成第三次握手无法完成.

这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端), 并等待一端时间后丢弃这个未完成的连接, 这段时间的长度一般称为 SYN Timeout.

一般来说这个时间是分钟的数量级(大概为30秒-2分钟); 一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题, 但如果有一个恶意的攻击者大量模拟这种情况, 服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源.

数以万计的半连接, 即使是简单的保存并遍历也会消耗非常多的CPU时间和内存, 何况还要不断对这个列表中的IP进行SYN+ACK的重试.

实际上如果服务器的TCP/IP栈不够强大, 最后的结果往往是堆栈溢出崩溃. 即使服务器端的系统足够强大, 服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求(毕竟客户端的正常请求比率非常之小).

此时从正常客户的角度看来, 服务器失去响应, 这种情况称作: 服务器收到了SYN Flood攻击