TCP SYN flood
El sıkışma tamamlanmadan çok sayıda TCP SYN paketi; firewall, load balancer ve sunucu bağlantı tablolarını doldurur.
Nasıl çalışır?
- Saldırgan SYN gönderir; hedef yarım açık bağlantı için durum ayırır.
- El sıkışma tamamlanmazsa slotlar dolar.
- Tablo dolunca meşru SYN paketleri düşebilir.
Paket akışı (örnek)
Engarde node Hedef
→SYN#1
→SYN#2
→SYN#3
→SYN…
Half-open connections ↑
Örnek akış — canlı PCAP değildir.
Tipik desen Yüksek SYN PPS
Engarde metriği Paket, bağlantı sayısı
Katman L4 taşıma
Engarde'de ne izlenmeli?
- Eşzamanlı bağlantı sayısı vs. yapılandırılmış limitler.
- Mitigasyon cihazlarında SYN cookie veya SYN proxy devreye girmesi.
- Testi sonlandır sonrası toparlanma süresi — durum hızla boşalmalı.
Bu simülasyonu çalıştırma
Engarde TCP simülasyonu IP:port hedefler; PPS ve süre ayarlanır. Uygulama payload'ı olmadan taşıma katmanı metrikleri izlenir.
Mitigasyon perspektifi
SYN cookie, bağlantı hız limiti ve upstream scrubbing yardımcı olur; cihaz politikalarını L4 simülasyonu ile doğrulayın.