tcp连接Recv-Q、syn flood攻击及backlog监控

最新推荐文章于 2023-10-26 10:50:35 发布
最新推荐文章于 2023-10-26 10:50:35 发布
阅读量3.3k 收藏 1
点赞数
文章标签: Recv-Q backlog synflood
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chaofanwei2/article/details/51436842
版权
本文详细介绍了TCP连接中Recv-Q和Send-Q的含义,特别是非监听和监听状态下的区别。针对Syn flooding攻击,文章讨论了SYN cookie机制、增大SYN最大半连接数、减小超时值等防御措施,并提供了Linux系统配置示例。此外,还阐述了如何监控backlog队列,通过`netstat -s`命令观察异常情况,以及在实验中模拟连接溢出的情况。
摘要由CSDN通过智能技术生成

1、Recv-Q和Send-Q


1.1、非listening状态的tcp连接

[root@centos64-1 ~]# netstat -ntp
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name   
tcp        0    284 192.168.132.128:22          192.168.132.1:32242         ESTABLISHED 4264/sshd           
tcp        0      0 192.168.132.128:9000        192.168.132.1:42029         ESTABLISHED 6552/java 

等同于 ss -n 命令

里面的Recv-Q 表示此连接等待用户接收的byte个数(已到内核,但还未被用户进程read的字节个数)

Send-Q 表示发送还未被ack的字节个数

Recv-Q
实验:

服务端卡死到accept前面:


客户端走到发送完处

注意:虽然此时服务端并未accpet此连接,但客户端还是能走到发送完成的代码处的。


可以看到,此时服务端的recv-q已经有等待用户进程read的数据了(另外,服务器端,只有没有不read,此处会一直显示等待接收的字节数)。


1.2、listen状态的tcp连接

netstat -lntp

ss -l -n  (能看出效果)


里面的Recv-Q 表示等待accept的连接个数,即完成队列的个数

实验:
服务端走到accept前面:



客户端走到发送数据完成处:


最低0.47元/天 解锁文章
chaofanwei2
关注
当遭遇TCP洪水(SYN Flood)后的的诊断思路和处理过程
qq_40907977的博客
05-18 720
转载来源 :当遭遇TCP洪水(SYN Flood)后的的诊断思路和处理过程 : http://www.safebase.cn/article-258753-1.html 摘要: SYN Flood介绍前段时间网站被攻 击多次,其中最猛烈的就是TCP洪水攻击,即SYN FloodSYN Flood是当前最流行的DoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,常用假冒的IP或IP号段发来海量的请求连接的第一个握手包(SYN包) …
Tomcat 调优之从 Linux 内核源码层面看 Tcp backlog
Huangjiazhen711的博客
10-20 396
这篇文章以 Tomcat 性能调优为切入点,首先简单讲了下 Tomcat 线程池调优。然后借 Tomcat 配置参数 accept-count 引出了 Tcp backlog,从 linux 内核源码层面详细讲解了下 TCP backlog 参数以及半连接、全连接队列的相关知识,包括连接队列大小设置,以及队列溢出怎么排查,这些东西也是我们服务端开发需要掌握的,在性能调优,问题排查时会有一定的帮助。
TCPRecv-Q和Send-Q
完颜振江
01-17 4726
1 LISTEN状态:表示队列中的连接数量,非LISTEN状态为字节数量; 非 LISTEN 状态 Recv-Q 表示 receive queue 中的 bytes 数量; Send-Q 表示 send queue 中的 bytes 数值。 2 Recv-Q 正在等待accept的连接数,Send-Q表示全连接队列容量 表示的当前等待服务端调用 accept 来三次握手的 listen backlog 数值,即图中的全连接队列值(最大值为Send_Q+1),当客户端通过connect() 去连接
TCP接收缓冲区Recv-Q中存在未处理的数据时关闭连接,会向对端发送RST报文(Python版本)
书唐瑞的博客
05-05 694
环境 macOS python Wireshark 流程 1.通过Python搭建一个服务端 2.通过nc命令连接服务端,发送数据给服务端 3.通过netstat命令查看接收缓冲区 4.通过Wireshark查看RST报文 通过下面的代码搭建一个服务端 from socket import * sock = socket(AF_INET,SOCK_STREAM) sock.bind(('',808...
TCP接收缓冲区Recv-Q中存在未处理的数据时关闭连接,会向对端发送RST报文(Java版本)
书唐瑞的博客
05-01 1669
TCP接收缓冲区Recv-Q中存在未处理的数据时关闭连接,会向对端发送RST报文.
tcp Send_Q Recv-Q 字段含义 timer 字段含义
pzqingchong的专栏
01-03 1743
处于LISTEN状态的socket,Recv-Q表示了current listen backlog队列元素数目(等待用户调用accept的完成3次握手的socket),而Send-Q表示了listen socket最大能容纳的backlog。这个数目由listen时指定,且不能大于 /proc/sys/net/ipv4/tcp_max_syn_backlog;对于非LISTEN socket,
linux 查看syn网络日志,Linux下分析SYN flood攻击案例
weixin_35039926的博客
05-06 857
近期遇到几例服务器被SYN攻击的问题,今天详细分析一下SYN flood攻击的原理简单回顾一下TCP/IP三次握手的过程1. Host A 发送一个TCPSYNchronize 包到HostB2. Host B 收到HostA的SYN3. Host B 发送一个SYNchronize-ACKnowledgement4.Host A 接收到HostB的SYN-ACK5.Host A ...
Linux连接状态为syn_recv,linux 服务器 syn*** 大量SYN_RECV状态处理
weixin_39832448的博客
05-13 2334
1、查看连接状态netstat -nat | awk '/^tcp/{++S[$NF]}END{for (a in S) print a,S[a]}'SYN_RECV表示正在等待处理的请求数;ESTABLISHED表示正常数据传输状态;TIME_WAIT表示处理完毕,等待超时结束的请求数。状态:描述CLOSED:无连接是活动的或正在进行LISTEN:服务器在等待进入呼叫SYN_RECV:一个连接请...
TCP SYN FLOODS攻击j
weixin_43771493的博客
04-11 430
这次参加了安全竞赛,根据给出的流量包来分析恶意流量,正好最近学到了与TCP,所以此次分析一下基于TCP握手的攻击——TCP SYN floods攻击 1.TCP三次握手* 由于这个攻击时基于TCP的三次握手,所以我们首先来了解一下,TCP的三次握手过程: TCP的三次握手的过程大致可以看作是是TCP客户端为了和服务器端建立连接而做出的一个相互认证的过程。 1)首先客户端发送SYN(同步序列编...
使用scapy实现TCP SYN-Flooding攻击
redwingz的博客
11-13 4252
  基于ubuntu 16.04系统,首先安装scapy,如下的apt-get或者可使用python的pip命令安装,scapy是一个功能强大网络数据包处理程序,包括对数据包的嗅探、解析和构造。本文即使用其数据包构造功能,实现syn flooding攻击。 # sudo apt-get install scapy TCP SYN Flooding即向服务器的监听端口不断发送TCPSYN报...
哑代理 - TCP链接高Recv-Q,内存泄露的罪魁祸首
weixin_33726313的博客
02-24 1603
1. 问题现象 使用netstat -ntp命令时发现,Recv-Q 1692012 异常偏高(正常情况下,该值应该是0),导致应用占用过多的内存。 tcp 1692012 0 172.17.72.4:48444 10.254.149.149:58080 ESTABLISHED 27/node 问题原因:代理的转发时,没有删除逐跳首部 2...
大量数据的tcprecv
IT小小鸟
09-16 2698
大量数据的tcprecv   最近在调程序的时候,发现发送端发送一个119136个char的内存的时候,在接收端不能全部接收, 于是,通过调试发现,必须在接收端多次的recv以后,进行拼接: 代码如下: char Lenbuf[4];  int iLen;   //接收数据  int bytes;  //先接受前面的四位消息体长度    if((by
linux netstat tcp(全连接连接)详解
weixin_40139740的博客
11-13 5754
(参考 LINUX MAN命令 大家可以自己去看一下 这里只是列出常用的部分说明) 功能介绍 显示网络连接状态(如:LISTEN、ESTABLISHED、TIME_WAIT),路由地址,应用使用协议(如:TCP、UDP),IP和端口使用情况等其他网络信息。 常用参数 –route , -r:显示内核路由表 –all , -a:显示所有套接字 -l, --listening:只显示正在...
netstat -na输出中Recv-Q和Send-Q两项的值不为零需要注意程序是否有问题
ikon的地盘
07-23 7474
    Recv-Q Send-Q分别表示网络接收队列,发送队列。Q是Queue的缩写。 这两个值通常应该为0,如果不为0可能是有问题的。packets在两个队列里都不应该有堆积状态。可接受短暂的非0情况。如文中的示例,短暂的Send-Q队列发送pakets非0是正常状态。 如果接收队列Recv-Q一直处于阻塞状态,可能是遭受了拒绝服务 denial-of-service 攻击...
ss 命令中 Recv-Q Send-Q什么意思
最新发布
servepeople的博客
10-26 1421
TCP连接中,Send-Q 表示应用程序尚未发送的数据量。如果 Recv-Q 或 Send-Q 的值持续非常大,可能表示网络连接处于饱和状态,或者应用程序处理数据的速度跟不上数据的到来或发送速度。一般情况下,Recv-Q 和 Send-Q 的值都应该为零,表示该连接的接收队列和发送队列都为空。如果 Recv-Q 或 Send-Q 的值大于零,那么就表示有数据在等待传输或接收。在 ss 命令的输出中,Recv-Q 和 Send-Q 是指套接字接收队列和发送队列的大小。
prometheus-metrics指标翻译
liujiangxu
03-03 3370
【代码】prometheus-metrics指标翻译。
故障发散-Recv-Q阻塞
zyxpaomian的博客
03-16 4257
之前有个开发遇到个生产问题,开发发现有时候CS之间的心跳直接丢了,查看日志发现客户端一直没收到心跳报文,但服务端其实已经把报文发了,觉得很奇怪,TCP 是可靠链接,不可能丢了吧,最终是发现了netstat 里的recv-q 有积压导致的,问题虽然解决了,但还是需要复盘一下,看看细节。 先看下啥是Recv-Q 和 Send-Q Recv-Q Established: The count of bytes not copied by the user program connected to this soc
Linux下tcp窗口一般多大,linux – tcp recv缓冲区和tcp接收窗口大小之间的区别?
weixin_33789616的博客
05-14 685
该命令显示tcp接收缓冲区大小(以字节为单位).$cat /proc/sys/net/ipv4/tcp_rmem4096 87380 4001344其中三个值分别表示最小值,默认值和最大值.然后我尝试使用tcpdump命令找到tcp窗口大小.$sudo tcpdump -n -i eth0 'tcp[tcpflags] & (tcp-syn|tcp-ack) == tcp-syn...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值