我这里说的“Socket攻击”是指,用一台或N台肉机进行TCP连接,以此来消耗服务器程序的可用Socket。
看了很多程序或组件的源代码,一般对客户端Socket管理是这样的:
1、用一个TThreadList(只要是线程安全的列表管理都行)来存储连接成功的Socket:后文统称“Socket列表”
2、服务器程序预设一个超时时间,比如10秒
3、限制每个IP能连接的Socket数量-----这个可以防止用一台机子写个程序疯狂的来连接这种情况
4、单独开一个线程,每隔几秒去检查一下这个 Socket列表,看是否有超时没有验证通过的Socket,然后将其这些超时的Socket关闭
实际部署被攻击出现的问题:
1、服务器检测到大量的IP(有近5万个),每个IP都有3,5个连接来连接服务器程序,只连接但不发验证信息,判定是攻击
2、Socket列表 好几万(我的是64位的程序,WIN SERVER 2008 R2下实际测试可接受11万多的连接)
3、这些连接不断连上、断开,再连上,Socket列表很长,检测Socket超时的线程工作时间很长导致占用Socket列表的时间很长,把整个服务器程序完全拖慢了。服务器程序处于假死状态
解决方案
一、加入单位时间能连接的Socket数量,单位时间以两秒为准效果不错,比如2秒内只能500个连接,这就可以很好的控制 Socket列表 的长度
二、引入IP黑名单,当一个IP超过10次非法连接后,将其IP拉黑,拉黑后任何从这个IP来的连接直接就Close掉,这样他怎么来连接也没影响了
三、改进 Socket列表, 只用一个 Socket列表 由于要处理线程安全的问题,在超多线程的环境下必然导致线程争用 Socket列表 的情况,这样多线程的效率就大打折扣了
所以我提出,用 双Socket列表 的方案。简单实现如下:
1、定义:fClientGuidMap, fClientGuidMap2: ThHashStringList(这个类是我自己实现的,大家可以用TThreadList之类的);
2、两个操作函数:
function ExchangeClientGuidMap: ThHashStringList;
procedure ClientGuidMap_AddObject(const S: string; AObject: TObject);
实现如下:
function TROBaseIOCPSuperTcpServer.ExchangeClientGuidMap: ThHashStringList;
begin
ExchangeLock.Acquire;
try
Pointer(fClientGuidMap2) := InterlockedExchangePointer(Pointer(fClientGuidMap), Pointer(fClientGuidMap2));
Result := fClientGuidMap2;
finally
ExchangeLock.Release;
end;
end;
3、检测线程的代码就不贴出来了,检测线程就是先调用 ExchangeClientGuidMap 后,对取得的列表循环判断其是否超时未验证,超时就CloseSocket就OK了
经过上面的改造,服务器程序防止攻击的能力大大提高