SYN cookiesoverflow path
큐가 압박받을 때 서버 상태 저장을 줄이는 완화책이다. 기능 제약과 커널 설정을 확인해야 한다.
SYN Flood
SYN Flood는 연결 준비 비용을 서버 쪽에 몰아 넣는다
공격자는 SYN만 많이 보내고 최종 ACK를 생략한다. 서버의 half-open 연결 큐가 압박을 받으면 정상 연결도 지연된다.
Attacker대량 SYN 전송
→
ServerSYN-ACK 전송, SYN_RECV 상태 증가
×
No final ACK핸드셰이크가 완료되지 않음
→
Impact정상 새 연결 지연 또는 거부
Backlog 조정capacity
정상적인 burst를 흡수할 여유를 만든다. 애플리케이션 accept 속도도 같이 봐야 한다.
경계 방어filter
rate limit, 방화벽, 로드밸런서, DDoS 방어망으로 공격 트래픽을 앞단에서 줄인다.
SYN_RECV 증가만으로 원인을 확정하지 말고, 트래픽 패턴, 출발지 분포, backlog overflow, 재전송 카운터를 함께 확인한다.