TL;DR：攻击有效地限制了分配的内存缓冲区，并使 CPU 使用率达到最大容量，导致服务器无法响应合法请求。SYN 攻击很少发生带宽耗尽，因为 SYN 攻击和/或虚假 DNS 查找所需的带宽非常少。

当服务器等待不存在的 ACK 数据包返回时，TCP SYN 泛洪只会填满可用的内存缓冲区。在这种攻击中消耗的带宽非常少，并且可以关闭具有小型 TCP 池的服务器，即使它们实际上具有无限的带宽，因为带宽不是瓶颈的来源，挂起的连接所持有的内存才是。

你可以把它想象成一个电话接线员的总机，其中许多电话只是人们对线另一端的呼吸，而实际上并没有说任何有用的东西；合法来电者必须等待接线员决定挂断所有恶作剧电话。最终，没有更多的备用电话线，因此合法呼叫者实际上会收到忙音，并且必须稍后再试。

前置攻击也使用很少的带宽，因为脚本只是要求目标域的随机子域名，迫使 DNS 服务器花时间执行递归查找并重复查询 DNS 记录以查找不在其缓存中的条目。在这种情况下，不是内存成为瓶颈，而是 CPU 通过执行比合法请求更多的工作来填补这个角色。

您可以将这种攻击想象为有很多人在总机上呼叫接线员，每个人都要求与不存在的人交谈。接线员最初必须花时间查找每个请求，然后告诉呼叫者该名称没有人在那里，而想要与已知人交谈的呼叫者必须等待接线员必须完成的所有查找。如果您想象操作员拥有一个巨大的电话簿并且他们必须花费大量时间翻页以确定该名称是否确实存在，则此方法效果最佳。

相比之下，带宽耗尽是指网络因试图到达服务器的数据而变得饱和。在这种情况下，服务器的内存和处理能力都不是瓶颈，而是取决于网络在一段时间内超过 100% 的容量。完成此类攻击的最佳方法是从尽可能多的位置快速发送非常大的数据包。

这很难想象，但想象一下同时打来许多恶作剧电话，总机处的接线员必须等待每个人说完他们要说的话，然后再接听下一个电话。每个恶作剧电话实际上都是一些人喋喋不休地谈论他们过去 50 年的整个人生故事和家族史，为那个只想被转移的来电者打了电话。然而，这并不是一个完美的类比，因为它实际上是在运营商的上游发生的。这是他们无法控制的。

为什么不直接禁用查找？

您必须考虑这里攻击者的目标是拒绝使用 Dyn 的 DNS 的站点的用户解析名称。如果 Dyn 在发生攻击时禁用了子域查找，那么这些站点的合法用户也将无法解析这些名称。这正是攻击者想要的，为他们实现的目标。

Dyn 禁用他们的服务、他们的客户、依赖其 DNS 服务的大型站点的每一秒都无法访问，这些大型站点正在损失巨额资金。当闸门关闭时，攻击者只需调低攻击（降低他们自己的成本，使自己变得不那么明显，更难被阻挡）并等到 Dyn 重新打开，然后重新灌水、冲洗并重复。一直以来，合法客户都无法连接到他们最喜欢的网站。

这都是推测性的：

看看这家公司提供的事件和服务，看起来这非常针对试图优化地理位置和流量方向的 DNS 池。使用 TCP 的原因是因为 RTT 测量（设置截断位，客户端发送 tcp 请求）和身份验证。这可以为您提供 GEO 的近似值，并由 ISP 和 ASN 地理标签支持。

如果这些是提供 tcp syn backlogs 的基于 linux 的系统，那么该卷的调整可能已经关闭。由于 BOT 的数量即使在低音量（每个机器人每秒 100 个同步）下，如果 CNC 每秒发出 100 个同步，峰值也可能达到每秒约 1 亿个同步。此外，如果源地址范围恰好集中在与特定地理区域（如美国东部成本）相关联的 IP 地址上，则可能会产生与欺骗相关的次要影响。

节流确实有效，但仅在特定规模下才有效。然后，您会遇到合法流量与具有相同来源的欺骗流量的针刺和大海捞针问题。就像我在上面所说的那样，地理 IP 范围可能与它自己的服务一样被作为欺骗池的目标。