Атаки типу syn flood. Захист Linux-сервера від SYN flood: основи та методи. Якщо нічого не допомагає

Spoofed SYN - атака, при якій заголовки пакетів підробляється таким чином, що місце реального відправника займає довільний або неіснуючий IP-адреса.

Так як по суті SYN є частим інструментом " інтенсивної конкурентної боротьби"І - в той же час - більшість рішень DDoS mitigation показують вражаючу ефективність саме на цьому виді атак, то і ми почнемо c SYN-flood, розглянувши spoofed-вид атаки, як самий грізний з них.

дисклеймер

Дисклеймер №1

Все, описане в цьому і наступних топіках - по суті не є know-how. Всі методики - відкриті, і в той чи інший час (деякі - від 2003 року) були опубліковані у відкритих джерелах. Я взяв на себе обов'язок тільки звести їх в одне і описати « глобальну стратегію»Захисту, орієнтовану на системних адміністраторів, Які обслуговують невеликі проекти, розташовані на виділених серверах (описану стратегію можна застосувати і в shared-проектах, але реалізація буде настільки вкрай жахливою, що писати про це немає ніякого бажання)

Дисклеймер №2

У топіку не розглядаються апаратні рішення захисту - по-перше, вони відмінно розглянуті в численних статтях виробників цих самих рішень, по-друге, проекти, які мають одним сервером не часто можуть собі їх дозволити (грубо кажучи, ціна на які працюють рішення стартує від 20 тисяч євро), по-третє - автор не має достатніх даними і досвідом по роботі з таким спеціалізованим залізом, що б робити глобальні висновки про методи і ефективності такого захисту - навряд чи комусь цікавий огляд рішень від двох вендорів з дюжини, не підкріплений серйозною робочої статистикою їх використання. Але варто зауважити, що обидва апаратних рішення, які мені доводилося використовувати, як правило дуже ефективні на SYN-атаках при виконанні ряду умов.

Дисклеймер №3

У топіку не розглядаються провайдери захисту від DDoS-атак - сервіс-інженери цих організацій зможуть описати їх методи роботи краще і докладніше. Варто було б, напевно, зробити огляд самих провайдерів як таких - з точки зору клієнта (в різний час проекти, в яких я брав участь, були клієнтами Dragonara, Blacklotus, Gigenet, Vistnet (зараз), Prolexic (зараз) і ряду продавців послуг цих компаній), але це вибивається з рамок топіка, спробуємо поговорити про це пізніше. Знову ж таки, варто зауважити що всі провайдери захисту, з якими працюють або працювали проекти автора, справляються з проблемою SYN-атак, показуючи хорошу ефективність.

Трохи механіки і вікіпедії

Не хотілося б перетворювати топік на подобу RFC і цитувати і так всім відомі істини, тому обмежимося тим, чим цікавий TCP з точки зору SYN-атаки і пробіжить по верхах.

По-перше, TCP - це один з найбільш використовуваних транспортних протоколів, поверх якого розташовуються більшість протоколів прикладних. По-друге, він має низку особливих ознак (явно підтверджуються початок і завершення з'єднання, управління потоком, etc.) - які роблять його реалізацію щодо складної і ресурсномісткої.

У контексті статті цікаво розглянути механізм установки TCP-з'єднання - тристоронню рукостискання. У першому наближенні на рівні «клієнт-сервер» виглядає це ось так: клієнт відправляє серверу SYN-пакет, на який відповідає SYN + ACK.Кліент відправляє у відповідь ACK на SYN сервера і з'єднання переходить в стан встановленого.

SYN-атака - відправка у відкритий порт сервера маси SYN-пакетів, що не приводять до установки реального з'єднання з тих чи інших причин, що тягне за собою створення «напіввідкритих з'єднань», які переповнюють чергу підключень, змушуючи сервер відмовляти в обслуговуванні черговим клієнтам. Плюс до цього, TCP RFC зобов'язує сервер відповідати на кожен вхідний SYN, що додатково б'є як по ресурсах сервера, так і по каналу передачі даних. В іншому, якщо ви вже стикалися з - по суті - будь-якими DDoS атаками - описане вище ви знаєте і без мене. Переходимо до конкретних рекомендацій.

Один в полі

Використовуй те, що під рукою, і не шукай собі інше - що можна зробити, перебуваючи один на один з атакою? Чесно кажучи, не багато, але буває, що вистачає і цього. Далі описано, що робити з FreeBSD, так як в наших проектах в 90% випадків використовується саме ця система. Втім, від ОС до ОС різниця буде невелика - принципи однакові.

перше - необхідно отримати доступ до сервера (так, в цьому теж може бути складність, особливо якщо атака масштабна і / або тривала - сервер просто вибрав все буфери або має 100% завантаження CPU). Зазвичай для цього достатньо закрити атакується сервіс фаєрволом або просто його - сервіс - погасити (втім, при виявленні атаки це потрібно зробити в будь-якому випадку, хоча б для того, що б мати можливість робити на сервері щось ще).

Друге - отримати перші відомості про атаці. Якщо у вас вже зроблений моніторинг вхідного трафіку - відмінно, якщо ні - відкриваємо фаєрвол / піднімаємо сервіс і використовуємо старі-добрі tcpdump і netstat, що б дізнатися, що саме атакують і який розмір атаки в пакетах в секунду. Попутно можна швидко переглянути мережі, з яких йдуть масові запити - чи входять вони в типову для вашого сервісу аудиторію. Все це стане в нагоді в майбутньому.

третє - на інтерфейсі, де розташований атакується IP-адреса повинна залишитися тільки він один. Кожен алиас буде впливати на продуктивність комп'ютера. Виражається це в різних числах для різних систем, Але цифри ці - серйозні, кожен алиас може коштувати додаткових 2-3 тисяч пакетів в секунду.

четверте - якщо ви використовуєте який-небудь фаерволл для вхідного трафіку по атакується адресою - все правила, крім блокування, повинні бути відключені - наприклад, при spoofed SYN-атаці ймовірність того, що вам допоможе SYN-proxy від PF прагне до нуля, а CPU це займе дуже серйозно.

п'яте - налаштовуємо систему. Чудес тут не буде, для них потрібен рояль в кущах у вигляді підготовлених драйверів і спеціально куплених мережевих карт, А єдині дві загальні рекомендації, які серйозно позначаються на можливості прийому SYN-атаки давно всім відомі:
- Розмазати обробку переривань по процесорам сервера;
- Включити syn-cookies і відключити syn-cache.

Решта тюнінг системи допоможе вичавити додаткові 5-10 тисяч пакетів, що в умовах атаки навряд чи виявиться визначальним. На випадок, якщо він кому-небудь стане в нагоді - ось максимально загальний конфиг (без включення опцій, які потребують пересборки ядра або спеціалізованих драйверів):

Net.isr.direct \u003d 1 kern.ipc.nmbclusters \u003d 400000 net.inet.tcp.nolocaltimewait \u003d 1 net.inet.tcp.recvspace \u003d 16384 net.inet.tcp.sendspace \u003d 32768 net.inet.tcp.msl \u003d 5000 net.inet.tcp.blackhole \u003d 1 net.inet.ip.intr_queue_maxlen \u003d 3000 net.inet.tcp.blackhole \u003d 2 net.inet.udp.blackhole \u003d 1 net.inet.icmp.log_redirect \u003d 1 net.inet.ip .redirect \u003d 0 net.inet.icmp.maskrepl \u003d 1 net.inet.tcp.syncookies_only \u003d 1 net.route.netisr_maxqlen \u003d 4096 kern.ipc.maxsockbuf \u003d 83886080 net.inet.ip.intr_queue_maxlen \u003d 10240
Система рівня десктопного комп'ютера, сконфигурированная у відповідності з цими рекомендаціями:

First # netstat -w1 -h -d input (Total) output packets errs idrops bytes packets errs bytes colls drops 260K 0 0 15M 230K 0 13M 0 0
Система рівня IBM System x3630 M3, сконфигурированная у відповідності з цими рекомендаціями:

Second # netstat -w1 -h -d input (Total) output packets errs idrops bytes packets errs bytes colls drops 477K 0 0 36M 457K 0 25M 0 0
Детальні конфігурації ОС і машин, і, власне, як ми прийшли саме до них - я спробую розповісти в наступному топіку.

Одна справа робимо

Що робити крім тюнінга системи В принципі, є чим зайнятися.

Тут варто зробити невеличкий відступ - більшість хостинг-компаній допоможуть в боротьбі з атакою вкрай неохоче, якщо допоможуть взагалі, і в цьому їх важко звинувачувати. Але як мінімум дані про атаці вони нададуть - якщо доведеться працювати з провайдерами захисту, це, укупі з інформацією, зібраною вами в ході атаки, здорово полегшить життя.

Якщо хостер попався розуміючий (що дійсно велика рідкість) - то працюємо за наступним алгоритмом - Паралелі і блокуємо, блокуємо і паралелі:
Якщо у нас є кілька мережевих карток (якщо немає - просимо поставити) - включаємо їх в режим LACP (для цього доведеться включити аналогічні опції на світче хостера) - це дасть фактично полуторний приріст продуктивності (окремі тонкощі процесу ми розглянемо пізніше - осягнути неосяжне в рамках топіка ніяк не виходить) Виходимо ось до такої продуктивності:

Second # netstat -w1 -h -d input (Total) output packets errs idrops bytes packets errs bytes colls drops 1.2M 16K 0 65M 1.1M 0 59M 0 0
Просимо заблокувати всі порти і протоколи - SYN-атака може з легкістю зміниться UDP-атакою.
На ці дії здатний практично кожна хостніг-компанія. Але якщо вам пощастило працювати з серйозною компанією - попросіть заблокувати трафік з регіону, де не проживає велика частина аудиторії вашого проекту (наприклад, Китай) - зазвичай це означає анонс блекхола для вашої мережі для магістральних провайдерів певного регіону. Як правило, SYN-атака відбувається з Азії, через дешевизну і масовості, і, отже, такий анонс може серйозно допомогти в боротьбі з атакою або взагалі виключити її можливість.

Крім вищеописаних заходів можна порадити використовувати GeoDNS-like сервіс - за деяких умов (атака ведеться по домену, наприклад) це спрацює аналогічно анонсуванню блекхола для певних мереж.

наостанок

Сподіваюся, стаття допоможе вам впоратися з проблемою SYN-флуда, що не перевищивши річний бюджет якої-небудь африканської країни. Звичайно, тут дано лише загальні рекомендації, але повірте - в 90% випадків їх цілком достатньо. І головне - don "t panic!

UPD. Продовження знаходиться в стадії написання, і скоро буде викладено тут. Залишайтеся з нами!

11.11.2012

під флудоммається на увазі величезний потік даних у вигляді повідомлень, який направляється для розміщення на всіляких форумах і чатах. Якщо дивитися з технічної ж точки зору, flood - це один з найбільш поширених видів комп'ютерної атаки, І метою його є відправка такого числа запитів, що обладнання сервера буде змушене виконати відмова в обслуговуванні сервісів користувачів. якщо напад на обчислювальну техніку здійснюється з великого числа комп'ютерів, то Ви маєте справу з.

Існує кілька типів DDoS-атак із застосуванням флуду, основні з них перераховані нижче:

• SYN-ACK-флуд
• HTTP-флуд
• ICMP-флуд
• UDP-флуд

SYN-ACK-флуд

SYN-ACK-флуд - один з типів мережевих атак, Який заснований на відправку величезної кількості SYN-запитів в одиницю часу. Результатом стане виведення з ладу сервісу, робота якого була заснована на TCP протоколі. Спочатку клієнт відправляє на сервер пакет, що містить SYN-прапор, наявність якого говорить про бажання клієнт встановити з'єднання. Сервер, в свою чергу, посилає пакет-відповідь. У ньому крім SYN-прапора є і ACK-прапор, який звертає увагу клієнта на те, що запит прийнятий і очікується підтвердження встановлення з'єднання з боку клієнта. Той відповідає пакетом з ACK-прапором про успішне з'єднання. Всі запити на «коннект» від клієнтів сервер зберігає в черзі певного розміру. Запити зберігаються в черзі до повернення від клієнта ACK-прапора. SYN-атака заснована на відправку сервера пакетів з неіснуючого джерела, кількістю перевищує розмір черги. Сервер, просто не зможе відповісти на пакет з вигаданого адресою. Черга не зменшуватиметься і сервіс перестане функціонувати.

HTTP-flood

HTTP-flood - застосовується у разі роботи сервісу з базою даних. Атака націлена або на web-сервер, Або на скрипт працює з базою. відправляється величезна кількість запитів GET на 80 порт, щоб web-сервер не зміг приділяти належну увагу запитам іншого типу. Log-файли збільшуються, а робота з базою даних ставати неможливою.

ICMP-флуд

ICMP-флуд - простий спосіб зменшення пропускної здатності і збільшення навантажень на стек за коштами відправки однотипних запитів ICMP PING. Небезпечний у разі малого приділення уваги мережевим екранам, Так як сервер, який відповідає на нескінченні запити ECHO, приречений. Так що в разі однакової кількості вхідного і вихідного трафіку просто пропишіть правила в iptables.

UDP-флуд

UDP-флуд - черговий спосіб захаращення пропускної смуги, Заснований на роботі з протоколом, який не вимагає синхронізації перед відправкою даних. Атака зводиться до звичайної посилці пакету на UDP порт сервера. Після отримання пакета, сервер починає його посилено обробляти. Потім клієнт відправляє Udp-пакети некоректного змісту один за одним. В результаті порти перестануть функціонувати і система дасть збій.

В принципі, на визначення типу DDoS-атаки часто не обов'язково витрачати багато часу. Досить знати кілька ознак. якщо значно збільшився розмір logфайлов - Ви маєте справу з HTTP-флудом. якщо обмежений доступ до сервісу в результаті перевищення кількості допустимих з'єднань - це SYN-ACK-флуд. У разі якщо вихідний і вхідний трафік приблизно рівні - Ви маєте справу з ICMP-флуд. Головне, не забувати про підтримку безпеки свого сервера від ДДоС і приділяти їй належну увагу. Найкраще - подбати про

A SYN flood is a form of denial-of-service attack in which an attacker sends a progression of SYN requests to an objective's framework trying to consume enough server assets to make the framework inert to authentic activity.

TCP three-way handshake

Typically, when a customer begins a TCP connection with a server, the customer and server trade a progression of messages which regularly runs this way:

1) The customer asks for a connection by sending a SYN (synchronize) message to the server.

2) The server recognizes this request by sending SYN-ACK back to the customer.

3) The customer reacts with an ACK, and the connection is built up.

This is known as the TCP three-way handshake, and is the establishment for each connection set up utilizing the TCP protocol.

Working of SYN flood attack

A SYN flood attack works by not reacting to the server with the normal ACK code. The pernicious customer can either basically not send the normal ACK, or by satirizing the source IP address in the SYN, bringing about the server to send the SYN-ACK to a distorted IP address - which will not send an ACK on the grounds that it "knows" that it never sent a SYN.

The server will sit tight for the affirmation for quite a while, as straightforward system clog could likewise be the reason for the missing ACK. In any case, in an attack, the half-open connections made by the pernicious customer tie resources on the server and may in the long run surpass the resources accessible on the server. By then, the server can not be access by any customers.

Security against SYN Flood Attacks

There are various surely understood countermeasures including:

1) Filtering

2) Increasing Backlog

3) TCP half-open:The term half-open alludes to TCP associations whose state is out of synchronization between the two potentially because of an accident on one side. A connection which is being set up is otherwise called a embryonic connection. The absence of synchronization could be because of malignant purpose. A TCP connection is alluded to as half-open when the host toward one side of that TCP association has slammed, or has generally evacuated the attachment without informing the flip side. In the event that the rest of the end is inert, the association may stay in the half-open state for unbounded time frames. These days, the term half-open association is regularly used to portray an embryonic connection, i.e. a TCP connection which is being set up.

The TCP convention has a three state framework for opening a connection. To begin with, the beginning endpoint (A) sends a SYN bundle to the destination (B). A is currently in an embryonic state (particularly, SYN_SENT), and anticipating a reaction. B now redesigns its portion data to demonstrate the approaching connection from A, and conveys a request to open a channel back (the SYN / ACK bundle). Now, B is additionally in an embryonic state (particularly, SYN_RCVD). Note that B was put into this state by another machine, outside of B's \u200b\u200bcontrol.

Under typical conditions (see foreswearing of-administration attack for conscious disappointment cases), A will get the SYN / ACK from B, overhaul its tables (which now have enough data for A to both send and get), and send a last ACK back to B. When B gets this last ACK, it additionally has adequate data for two-way correspondence, and the connection is completely open. Both endpoints are currently in an established state.

4) Firewalls and Proxies

5) Reducing SYN-RECEIVED Timer

6) SYN Cache

7) Recycling the Oldest Half-Open TCP

8) Hybrid Approaches

9) SYN cookies:SYN cookie is a strategy used to oppose SYN surge assaults. Daniel J. Bernstein, the procedure's essential creator, characterizes SYN treats as "specific decisions of beginning TCP arrangement numbers by TCP servers". The utilization of SYN treats permits a server to abstain from dropping associations when the SYN line tops off. Rather, the server carries on as though the SYN line had been amplified. The server sends back the suitable SYN + ACK reaction to the customer yet disposes of the SYN line section. In the event that the server then gets a resulting ACK reaction from the customer, the server can reproduce the SYN line section utilizing data encoded as a part of the TCP succession number.

If you need any further assistance please contact our support department.

Невже ти думаєш, що знаєш все про DoS? Тоді читай!

Denial-of-service (DoS), атаки відмови від обслуговування, стали небезпечніше і легше. DoS це різновид
мережевих атак (від черв'яків до SYN flooding), мета яких зробити сервер недоступним для користувачів. 'Distributed Reflection' це новий вид DoS атак з використанням SYN flood "а. Його особливість в тому, що на атакується сервер не надсилаються мільйони SYN пакетів, вони посилаються на router" и або сервера і відповідь приходить цільового сервера. А
роутерів існує мільйони!

Щоб зрозуміти як все це працює і чому це так важливо
давайте дещо згадаємо ... Підтвердження TCP з'єднання відбувається посредствам обміну трьома пакетами між двома
комп'ютерами, так зване рукостискання. Ось приблизна схема:

• SYN клієнт (web браузер, ftp клієнт, Etc.) входить в зв'язок з сервером, посилаючи йому SYN пакет.
• SYN / ACK: Коли запит про з'єднання (SYN пакет) отримано на відкритому порту сервера, той підтверджує з'єднання посилаючи клієнтові SYN / ACK пакет.
• ACK: Коли клієнт отримує підтвердження сервера SYN / ACK пакет для очікуваної зв'язку, то відповідає ACK пакетом.

Що відбувається?

Традиційні "SYN flooding DoS" атаки працюють за двома принципами:

• "One-on-one" одна машина відсилає достатню кількість SYN пакетів щоб заблокувати доступ до сервера.
• "Many-on-one" безліч програм зомбі,
  встановлених на різних серверах, атакують цільову машину SYN пакетами.

З використанням "reflection SYN flooding" надсилаються пакети,
але з вихідним IP адресою, що вказує на цільову машину. TCP з'єднання з використанням цих трьох пакетів вимагає, щоб будь-яка TCP служба, яка отримує SYN пакет, відповіла SYN / ACK пакетом. Сервер або router, які отримують ці підроблені SYN пакети, посилають SYN / ACK відповіді на машину, зазначену SYN пакетами з вихідним адресою
IP. Основний протокол Інтернету і інфраструктура
мережі використовуються самі проти себе!

В деталях

Будь-яка TCP зв'язок з сервером загального призначення може використовуватися, щоб "відбити" SYN пакети. ось
короткий список найбільш популярних TCP портів:
22 (Secure Shell), 23 (Telnet), 53 (DNS) і 80 (HTTP / web). І фактично router "и все Інтернету підтвердять TCP зв'язок на
179 порту. Давайте оцінимо потенціал цієї атаки:

• Вона використовує фундаментальний Інтернет протокол комунікацій;
• Машин, які використовують цей протокол, існує мільйони;
• надзвичайно просто організувати атаку 'SYN packet
  reflectors '.

Досить легко може бути побудований список,
в якому будуть перераховані router'и і
сервера, що відповідають на SYN пакети. маючи
великий список SYN "відбивачів", кожен
хакер може розподілити підроблені SYN
пакети рівномірно через весь набір
роутерів / серверів в списку. Жоден з невинних "відбивачів" не зазнає
суттєвої мережевого навантаження. Роутери взагалі не зберігають звіти про пакети з запитами на
попереднє з'єднання, це робить
відстеження нападу надзвичайно важким.

"Отражатели" (роутери і сервера) відправлять в три або чотири рази велика кількість SYN / ACK пакетів, ніж число SYN пакетів які вони
отримають. TCP з'єднання, яке отримує команду
SYN, очікує ACK відповідь від машини на яку послало
SYN / ACK пакет, тому комп'ютер посилається ще кілька SYN / ACK відповідей через кілька хвилин. Ця особливість TCP протоколу по суті примножує число зловмисних SYN / ACK пакетів, що посилаються цільової машині на три або чотири. Це також означає, що flood SYN / ACK
пакети продовжать атакувати цільової сервер протягом хвилини або
двох навіть після того, як нападник відкликав напад.

SYN flood attack is a form of denial-of-service attack in which an attacker sends a large number of SYN requests to a target system's services that use TCP protocol. This consumes the server resources to make the system unresponsive to even legitimate traffic. This attack can occur on any services that use TCP protocol but mainly on web service. In this tutorial, we will go through the basics of SYN flood attacks and the mitigation steps in detail.

The SYN Flood attack exploits an implementation characteristic of the Transmission Control Protocol (TCP), which is called 3-way handshake. Following are the steps that occur in a normal 3-way handshake:

1. The client requests a connection by sending a SYN (synchronize) message to the server.
2. The server acknowledges this request by sending SYN-ACK back to the client.
3. The client responds with an ACK, and the connection is established.

A SYN flood attack works by not responding to the server with the expected ACK code. By these half-open connections, the target machines TCP backlog will get filled up and hence all new connections may get ignored. This will cause the legitimate users to also get ignored.

This attack can take place in two ways:

1. Direct Attack

In this kind of attack, attackers rapidly send SYN segments without spoofing their IP source address. When detected, this type of attack is very easy to defend, because we can add a simple firewall rule to block packets with the attacker "s source IP address which will the attack.

2. Using Ip address Spoofing

This is a more complex form of attack than the direct attack. In this method, the malicious machine will send SYN request floods to the target machine from spoofed IP addresses, causing the server to send the SYN-ACK to a falsified IP address - which will not send an ACK because it "knows" that it never sent a SYN.

Detecting SYN flood Attack

The generic symptom of SYN Flood attack to a web site visitor is that a site takes a long time to load, or loads some elements of a page but not others. If you suspect a SYN Flood attack on a web server, You can use to check the web server connection requests that are in "SYN_RECEIVED" state.

netstat -tuna | grep: 80 | grep SYN_RECV

If it shows numerous connections with this state, the server could be under SYN Flood attack. If the attack is direct with large number of SYN_RECV packets from a single IP address, you can stop this attack by adding that IP address in the firewall. If you have APF or firewall installed on your server, you can accomplish this by executing the following command:

apf -d IPADDRESS
csf -d IPADDRESS

Defending SYN Flood Attack

Using SYN cookies

This is the most effective method of defending from SYN Flood attack. The use of SYN cookies allow a server to avoid dropping connections when the SYN queue fills up. Instead, the server behaves as if the SYN queue has been enlarged. The server sends back the appropriate SYN + ACK response to the client but discards the SYN queue entry. If the server then receives a subsequent ACK response from the client, it is able to reconstruct the SYN queue entry using information encoded in the TCP sequence number.

SYN cookies can be enabled by adding the following to /etc/sysctl.conf

net.ipv4.tcp_syncookies \u003d 1

After modifying the sysctl configuration file, you need to execute the following command to load sysctl settings from the file /etc/sysctl.conf

Increasing the SYN backlog queue

An optional defending technique is to increase the SYS backlog queue size. The default size is 1024. This can be done by adding the following to /etc/sysctl.conf

net.ipv4.tcp_max_syn_backlog \u003d 2048

Reducing SYN_ACK retries

Tweaking the kernel parameter tcp_synack_retries causes the kernel to close the SYN_RECV state connections earlier. Default value is 5.

net.ipv4.tcp_synack_retries \u003d 3

Setting SYN_RECV timeout

Lowering the timeout value for SYN_RECV will help in reducing the SYN flood attack. The default value is 60 and we can reduce it to 40 or 45. This can be done by adding the following line to sysctl.conf.

net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_recv \u003d 45

Preventing IP spoofing

The following sysctl parameter will help to protect against IP spoofing which is used for SYN flood attacks.

net.ipv4.conf.all.rp_filter \u003d 1

Many hosting companies provide protection against SYN attack by deploying firewalls that employ SYN flood defense such as Netscreen or Appsafe.