1、针对TCP SYN洪流攻击： （1）阅读附件中的TCP SYN攻击程序，画出流程图。 （2）叙述SYN FLOOD攻击原理，结合课件并查询相关资料，分析半连接表的变化情况。 （3）分析实际使用时，攻击者一般要伪造源地址的原因。

1. TCP SYN洪流攻击流程图：


2. SYN FLOOD攻击原理：

SYN FLOOD攻击是一种DoS（Denial of Service）攻击，其原理是利用TCP协议的三次握手过程中的漏洞，向目标主机发送大量伪造的TCP SYN包，使目标主机的半连接表（SYN queue）被占满，无法正常处理正常的TCP连接请求，从而导致服务拒绝。

当攻击者向目标主机发送大量伪造的TCP SYN包时，目标主机会回复一个TCP SYN+ACK包，表示自己已经收到了请求并准备好建立连接。攻击者的计算机会自动丢弃这些回复，这就意味着目标主机的半连接表中会留下很多半连接状态的记录。如果攻击者一直维持这种攻击，占满目标主机的半连接表，正常的TCP连接请求就无法被处理，从而导致服务拒绝。

3. 半连接表的变化情况：

半连接表是用于存储TCP三次握手过程中未完成握手的连接请求，它主要记录了客户端向服务器发送SYN包并等待服务器回应的连接请求。当服务器回应一个SYN+ACK包时，半连接表中的记录就会被删除。当客户端接收到服务器回应的SYN+ACK包后，它会回复一个ACK包，建立TCP连接。如果服务器没有回应SYN+ACK包，半连接就会一直保留，直到超时。

在SYN FLOOD攻击中，攻击者发送大量伪造的TCP SYN包，这些SYN包的源IP地址是伪造的，攻击者并不真正发送数据，也不回复服务器的SYN+ACK包。因此，服务器的半连接表中就会出现很多记录，这些记录会占用服务器的资源，使得服务器无法处理正常的TCP连接请求。当半连接表被填满时，服务器便无法再接收新的连接请求，从而导致服务不可用。

4. 伪造源地址的原因：

攻击者在进行SYN FLOOD攻击时，往往会伪造源IP地址，主要有以下几个原因：

- 伪造源IP地址可以隐藏攻击者的真实IP地址，使得攻击者更难被追踪和定位。
- 伪造源IP地址可以使攻击看起来像是来自于大量其他计算机的请求，从而混淆目标主机的判断，增加攻击的难度。
- 伪造源IP地址可以利用目标主机的反射放大特性，使得攻击的威力更大。例如，攻击者可以向一个开放了DNS放大攻击漏洞的DNS服务器发送大量伪造的DNS查询请求，使得服务器返回大量的DNS响应数据，从而放大攻击的威力。