SYN flood

正常情况下
(1)客户端向服务端发送一个SYN包，包含客户端使用的端口号和初始序列号x。
(2)服务器在收到客户端的SYN包后，将返回一个SYN+ACK的TCP报文，包含确认号x+1和服务器的初始序列号y。
(3)客户端收到服务器返回的SYN+ACK报文后，向服务器返回一个确认号为y+1，序号为x+1的ACK报文，一个标准的TCP连接完成。
SYN flood在攻击时，首先伪造大量的源ip地址，分别向服务器发送大量的SYN包， 此时服务器会返回SYN+ACK包，因为源地址是伪造的，所以伪造的ip并不会应答，服务器端没有收到伪造ip的回应,会重试3~5次并且等待一个SYN Time(一般为30秒至2分钟)，如果超时则丢弃这个连接。攻击者大量发送这种伪造源地址的SYN请求，服务器将会消耗非常多的资源来处理这种半连接，同时还要不断地对这些IP进行SYN+ACK重试。最后的结果是服务器无暇理睬正常的连接请求，导致拒绝服务。

UDP flood

ICMP flood