RO IOCP开发心得系列（01）：服务器程序防止Socket攻击的解决方案

RO IOCP开发心得系列（01）：服务器程序防止Socket攻击的解决方案

 

我这里说的“Socket攻击”是指，用一台或N台肉机进行TCP连接，以此来消耗服务器程序的可用Socket。

看了很多程序或组件的源代码，一般对客户端Socket管理是这样的：

1、用一个TThreadList(只要是线程安全的列表管理都行)来存储连接成功的Socket：后文统称“Socket列表”

2、服务器程序预设一个超时时间，比如10秒

3、限制每个IP能连接的Socket数量-----这个可以防止用一台机子写个程序疯狂的来连接这种情况

4、单独开一个线程，每隔几秒去检查一下这个 Socket列表，看是否有超时没有验证通过的Socket，然后将其这些超时的Socket关闭

 

实际部署被攻击出现的问题：

1、服务器检测到大量的IP（有近5万个），每个IP都有3,5个连接来连接服务器程序，只连接但不发验证信息，判定是攻击

2、Socket列表 好几万（我的是64位的程序，WIN SERVER 2008 R2下实际测试可接受11万多的连接）

3、这些连接不断连上、断开，再连上，Socket列表很长，检测Socket超时的线程工作时间很长导致占用Socket列表的时间很长，把整个服务器程序完全拖慢了。服务器程序处于假死状态

 

解决方案

一、加入单位时间能连接的Socket数量，单位时间以两秒为准效果不错，比如2秒内只能500个连接，这就可以很好的控制 Socket列表 的长度

二、引入IP黑名单，当一个IP超过10次非法连接后，将其IP拉黑，拉黑后任何从这个IP来的连接直接就Close掉，这样他怎么来连接也没影响了

三、改进 Socket列表， 只用一个 Socket列表 由于要处理线程安全的问题，在超多线程的环境下必然导致线程争用 Socket列表 的情况，这样多线程的效率就大打折扣了

     所以我提出，用  双Socket列表 的方案。简单实现如下：

1、定义：fClientGuidMap, fClientGuidMap2: ThHashStringList（这个类是我自己实现的，大家可以用TThreadList之类的）;

2、两个操作函数：

        function ExchangeClientGuidMap: ThHashStringList;
        procedure ClientGuidMap_AddObject(const S: string; AObject: TObject);

 

     实现如下：

        function TROBaseIOCPSuperTcpServer.ExchangeClientGuidMap: ThHashStringList;
        begin
          ExchangeLock.Acquire;
          try
            Pointer(fClientGuidMap2) := InterlockedExchangePointer(Pointer(fClientGuidMap), Pointer(fClientGuidMap2));
            Result := fClientGuidMap2;
          finally
            ExchangeLock.Release;
          end;
        end;

 

 3、检测线程的代码就不贴出来了，检测线程就是先调用 ExchangeClientGuidMap 后，对取得的列表循环判断其是否超时未验证，超时就CloseSocket就OK了

 

经过上面的改造，服务器程序防止攻击的能力大大提高