- بواسطة x32x01 ||
معظم خدمات الإنترنت اللي بنستخدمها يوميًا زي HTTPS (443) و SSH شغالة على بروتوكول TCP 
قبل أي نقل بيانات، TCP بيعمل خطوة تأسيسية اسمها TCP 3-Way Handshake.
الخطوة دي بسيطة في الشكل… بس خطيرة جدًا لو اتستغلت غلط
إيه هو TCP 3-Way Handshake؟
هو اتفاق سريع بين العميل (Client) و السيرفر (Server) عشان يبدأ اتصال موثوق 
وبيتم على 3 خطوات أساسية:
فين نقطة الضعف في TCP؟
المشكلة بتبدأ أول ما السيرفر يستقبل رسالة SYN كتير من السيرفرات بتعمل:
المستخدمين الحقيقيين مش هيعرفوا يعملوا اتصال جديد
هجوم SYN Flood: إسقاط الخدمة من أول خطوة
هجوم SYN Flood بيعتمد على فكرة بسيطة وخبيثة: إرسال عدد ضخم جدًا من SYN
من غير ما يتم إرسال ACK النهائي
النتيجة
مؤشرات سريعة لاكتشاف الهجوم (SOC / Blue Team)
فرق الـ SOC أو الـ Blue Team تقدر تلاحظ:
ارتفاع غير طبيعي في عدد رسائل SYN
عدد ACK قليل جدًا مقارنة بالـ SYN
زيادة الاتصالات بحالة SYN_RECV على السيرفر
مثال لملاحظة الحالة على Linux:
إزاي نقلل تأثير هجوم SYN Flood؟
فيه دفاعات بسيطة لكنها فعالة جدًا 
تفعيل SYN Cookies
Rate Limiting
حلول DDoS Protection
الخلاصة
فهم TCP 3-Way Handshake مش درس شبكات وخلاص ده مفتاح مهم لفهم:
قبل أي نقل بيانات، TCP بيعمل خطوة تأسيسية اسمها TCP 3-Way Handshake.
الخطوة دي بسيطة في الشكل… بس خطيرة جدًا لو اتستغلت غلط
إيه هو TCP 3-Way Handshake؟ 
هو اتفاق سريع بين العميل (Client) و السيرفر (Server) عشان يبدأ اتصال موثوق وبيتم على 3 خطوات أساسية:
- SYN ➜ العميل بيقول: عايز أفتح اتصال
- SYN-ACK ➜ السيرفر يرد: تمام، مستعد
- ACK ➜ العميل يؤكد، والاتصال يبقى ESTABLISHED
فين نقطة الضعف في TCP؟ 
المشكلة بتبدأ أول ما السيرفر يستقبل رسالة SYN كتير من السيرفرات بتعمل:- اتصال Half-Open
- تحطه في قائمة انتظار اسمها Backlog
- تستنى رسالة ACK الأخيرة
المستخدمين الحقيقيين مش هيعرفوا يعملوا اتصال جديد
هجوم SYN Flood: إسقاط الخدمة من أول خطوة 
هجوم SYN Flood بيعتمد على فكرة بسيطة وخبيثة: إرسال عدد ضخم جدًا من SYNمن غير ما يتم إرسال ACK النهائي
النتيجة
- تكدس اتصالات Half-Open
- امتلاء Backlog
- فشل الاتصالات الشرعية
- بطء شديد أو توقف الخدمة بالكامل
مؤشرات سريعة لاكتشاف الهجوم (SOC / Blue Team) 
فرق الـ SOC أو الـ Blue Team تقدر تلاحظ: ارتفاع غير طبيعي في عدد رسائل SYN عدد ACK قليل جدًا مقارنة بالـ SYN زيادة الاتصالات بحالة SYN_RECV على السيرفرمثال لملاحظة الحالة على Linux:
netstat -ant | grep SYN_RECV | wc -l
إزاي نقلل تأثير هجوم SYN Flood؟ 
فيه دفاعات بسيطة لكنها فعالة جدًا تفعيل SYN Cookies 
- السيرفر ما يحتفظش بالاتصال
- يستنى العميل يثبت جديته الأول
Rate Limiting 
- تحديد عدد الاتصالات في الثانية
- يتطبق من الـ Firewall أو Load Balancer
حلول DDoS Protection 
- مهمة جدًا للخدمات العامة
- بتتعامل مع الهجوم قبل ما يوصل للسيرفر
الخلاصة 
فهم TCP 3-Way Handshake مش درس شبكات وخلاص ده مفتاح مهم لفهم:- إزاي خدمة ممكن تقع من أول خطوة
- إزاي هجوم بسيط زي SYN Flood يوقف سيستم كامل
- وإزاي تحمي نفسك بمراقبة SYN وتفعيل دفاعات ذكية