http cookie,tcp syncookie 和 tcp fastopen 杂谈

最新推荐文章于 2024-04-27 09:30:49 发布
最新推荐文章于 2024-04-27 09:30:49 发布
阅读量2w 收藏 9
点赞数 9
文章标签: http tcp/ip 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dog250/article/details/136541621
版权

syncookie 和 fastopen 的应用场景不赘述。它们均使用了 cookie 机制,返回给 client,再由 client 带回来用作识别。

说到它们的具体实现时,只要涉及 “识别” 机制,很多人都默认该机制需要 “解码 cookie”,“以 key 查 value 来定位用户”,大致就是 http cookie 那套逻辑,然而 tcp 的 syncookie 恰恰是不想在 server 保存任何可供识别的信息,而 fastopen server 在收到 client 携带的 cookie 建立连接之前,连接并不存在,何谈信息识别。这里有人要说了,连接虽没有建立,也不妨碍 server 端有一张 key-value 表,用 cookie 查询到 value,直接创建连接岂不是更帅?

还是得从现实的世界去理解,而不是老在协议技术范畴绕圈圈。我问如何理解 tcp 的各种 cookie,上来就拿 http cookie 说事,其实 cookie 这个词都有点不达意,把 cookie 叫 ticket 才更合适。

http cookie,就是现实世界的会员卡,一次消费用不完预充值的钱,下次过来店员看你会员卡就能自动关联到余额,实际上也就是一个 key 查 value 的操作,背后也没摆脱电脑。更朴素的例子,在饭店吃饭买了一瓶酒,临走时没有喝完,顾客会把酒存在店家,店家开个小票写上酒被存放的位置以及一些其它信息,下次顾客再来消费时,可以拿这张小票取出存放的酒继续喝,这就在无状态的单次消费中关联了状态。

tcp syncookie 在现实世界也容易理解,高峰旺季时期的饭店,酒店一般都会取消预订,目标是最小化顾客等待和最小化浪费,防止有人预订来不来或来得太晚,占着茅坑不拉屎的时间段内资源无法被利用。

在现实世界,当然还有更好的方案,比如预订交押金,实际到达后打折冲消费或原价返还,如果违约未到,扣除部分甚至全部押金,作为对资源闲置的补偿。 此外,对于预付费预订业务,比如机票,火车票,如果后续退票,收取大额手续费是合理的,这笔费用其实就是时间压缩成本,因为从你购票到退票,距离飞机起飞或火车开车肯定越来越近,售票方将退票再次卖出的难度越来越大,而退票者显然要为此买单。

从现实世界反射回 tcp/ip。恰恰 tcp 无法采用预订押金或退票收费这种方式缓解 ddos。按照 tcp/ip 互联网早期的假设,互联互通是免费且随时进行的,原则上,任何 ip 地址在任何地方都能访问任何别的 ip 地址,这注定了互联网上所有的连接请求都是不速之客,这是互联网安全问题的根源。

如果我们的现实世界也如此,所有的收费服务,熟人关系,票务服务均将消失,这种环境下,所有的恶意事件只能事后追查而无法事前抑制。

再来看看 fastopen,它实际上就是现实世界的 “记名不挂失的门票”,比如 “不限次数的月卡,季卡,年卡”,过期后自动作废,但在有效期内不限次数。理解了这一点就知道它和 key-value 毫无关系,server 需要做的只是一个 verify 操作,首先它要 verify 这张票是它签发的,其次它要 verify 这张票属于持票的人,这些都很容易,票上只要写上用户信息并加盖场所公章即可,检票员通过公章识别是自己签发,通过比对用户身份证和票面信息确认持票人权限。在 tcp fastopen 涉及的 coockie 中,server 通过一个密钥加密 client 的 ip 等信息作为记名门票,当 client 再次前来建立连接,server 通过解密其携带的 cookie(只有它能解密),比对 coockie 解密后包含的 ip 地址和 client syn 报文的 ip 地址,即可确认 client 是否有 fastopen 权限。

理发店会员卡,小饭店存酒等 cookie 行为具体会在会员卡和小票上存储什么信息全由商家自主决定,可记名也可不记名,可能只要有那张纸条,就可以去饭店喝掉别人存的酒。这种行为确实完全没必要标准化,因为 cookie 行为的波及半径仅限于商家,而商家又是如此之多。http cookie 于此类似,早期的网站,只要拿到 cookie 并拼接在 url 后面,就能直接登录别人的账户,这问题只能网站自己负责,如果网站不希望这种事发生,开发者可以很容易加入一些更严格的认证逻辑,将更多信息编入 cookie。

但机票,火车票,大型酒店的各种卡几乎都是记名的,且拥有统一标准,因为它们提供的是 “基础服务” 而不是 “最终服务”,引号内的词是 传输层 和 应用层 的区别。最后,我们发现,tcp 的 cookie 生成相比 http 的 cookie 生成更加标准化,因为 tcp 提供基础运输服务,http 提供最终服务。

协议设计要从现实世界学习,绝大多数问题在现实世界都被解决过,如果只在技术范畴比划概念,你的设计大概率不光更复杂,更可能引入新问题。

浙江温州皮鞋湿,下雨进水不会胖。

dog250
关注
  • 9
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
python 使用raw socket进行TCP SYN扫描实例
09-16
主要介绍了python 使用raw socket进行TCP SYN扫描实例,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
TCPSYNScan.rar_CAN 实例_tcp syn _tcpsyn
09-20
TCPSYNScan实例,TCPSYN称为半开放扫描。优点在于一般不会在目标计算机上留下记录
详解tcp三次握手过程syn,ack
11-11
图解tcp三次握手过程 udp没有三次握手,所以不可靠
如何使用tcpdump来捕获TCP SYN,ACK和FIN包
banbanlin的专栏
10-23 3398
问题:我想要监控TCP连接活动(如,建立连接的三次握手,以及断开连接的四次握手)。要完成此事,我只需要捕获TCP控制包,如SYN,ACK或FIN标记相关的包。我怎样使用tcpdump来仅仅捕获TCP SYN,ACK和/或FYN包? 作为业界标准的捕获工具,tcpdump提供了强大而又灵活的包过滤功能。作为tcpdump基础的libpcap包捕获引擎支持标准的包过滤规则,如基于5重包头的过
TCP SYNCookie机制
书唐瑞的博客
08-29 1568
TCP SYN cookie机制
TCP socket SYN队列和Accept队列区别原理解析
01-08
首先我们必须明白,处于“LISTENING”状态的TCP socket,有两个独立的队列: SYN队列(SYN Queue) Accept队列(Accept Queue) 这两个术语有时也被称为“reqsk_queue”,“ACK backlog”,“listen backlog”,...
TCP协议的SYN Flood攻击原理详细讲解
10-09
TCP协议的SYN Flood攻击,这种攻击方式虽然原始,但是生命力顽强,长久以来在DDoS圈里一直处于德高望重的地位。...但TCP类的攻击远不止如此,本篇我们就来全面讲解基于TCP协议的各种DDoS攻击方式和防御原理。
实践和原则,哪个更重要?tcp syncookie的问题和解法
热门推荐
Netfilter
04-17 1万+
测了一次tcp syncookie的抗D性能,发现了一件有趣的事情,周末写一篇随笔出来。 请看下面的时序: 简单讲就是在syncookie被触发的时候,客户端可能会被静默丢掉最多3个字节,所谓静默就是客户端认为这些字节被收到了(因为它们被确认了),然而服务端真真切切没有收到。 关于这个POC也非常简单: //$ cat poc.c #include <stdio.h> #include <stdlib.h> #include <string.h> #include &l
TCP SYN cookie的作用、原理、缺陷
超级码力
08-19 3464
SYN Flood 攻击 SYN cookie使用来抵御SYN 攻击的。SYN 攻击就是发很多的SYN给服务器,服务器收到SYN会为每个SYN创建一个TCB(Transmission Control Block),并将其放到半连接队列中。然而系统的半连接队列大小是有限制的(默认1024),如果半连接队列满了,服务器只能丢弃新来的请求了,从而正常的请求无法完成。 SYN Cookie概念 syn cookie究竟存在哪?它的实体就是服务器返回给客户端的ACK+SYN中的seq number。这个序列号本身也是
TCP SYN扫描技术探测原理
rqaz123的博客
02-24 7268
TCP SYN扫描 TCP SYN扫描又称“半开扫描”。回顾TCP连接的三次握手,申请方首先发送的是一个SYN数据包,服务方在接到这个SYN数据包后,如果该端口处于侦听状态,则会回复一个SYN|ACK的数据包;如果该端口没有处于侦听状态,则会回复一个RST的数据包。而此时如果对方处于侦听状态,申请方还需要再向对方回复一个ACK数据包以示建立连接。此时对方就认为连接建立,并记入日志。 无论服务方回复SYN|ACK的数据包,还是回复RST的数据包,申请方其实已经能够判断对方端口是否为“开”的状态。之后的AC
TCP Fast Open原理和使用
罗宾王的博客
07-04 5062
TCP Fast Open
tcp_fast_open的概念 作用以及实现(转)
随意的风的专栏
07-05 1万+
TCP Fast Open定义 TCP Fast Open(TFO)是用来加速连续TCP连接的数据交互的TCP协议扩展,原理如下:在TCP三次握手的过程中,当用户首次访问Server时,发送SYN包,Server根据用户IP生成Cookie(已加密),并与SYN-ACK一同发回Client;当Client随后重连时,在SYN包携带TCP Cookie;如果Server校验合法,则在用户回复ACK...
如何用JS校验HTTPHTTPS地址
qq_43474235的博客
04-21 431
在日常开发过程中,我们有时候对某些应用功能进行封装,但是在请求接口又不能写死,这个时候我们需要对他进行多方面考虑。
Http长连接 和 短连接 原理
Snow_760的博客
04-25 324
其中的tomcat我并没有去看过源代码,不清楚是怎么实现的我猜想是这样是这样实现的。欢迎大家指出其中错误。
HTTP慢连接攻击的原理和防范措施
dexunyun的博客
04-23 747
HTTP慢速连接攻击是CC攻击的变种,对任何一个允许HTTP访问的服务器,攻击者先在客户端上向该服务器建立一个content-length比较大的连接,然后通过该连接以非常低的速度(例如,1秒~10秒发一个字节)向服务器发包,并维持该连接不断开。攻击者就是利用了这点,对服务器发起一个HTTP请求,一直不停的发送HTTP头部,但是HTTP头字段不发送结束符,之后发送其他字段,而服务器在处理之前需要先接收完所有的HTTP头部,导致连接一直被占用,这样就消耗了服务器的连接和内存资源;
【QT进阶】Qt http编程之json解析的简单介绍
LF__plus的博客
04-22 357
【QT进阶】Qt http编程之json解析的简单介绍
【Day 4】Maven + Spring入门 + HTTP 协议
Yudiannann的博客
04-21 982
开始学后端!
HTTP网络协议,接口请求的内容类型 content-type(2024-04-27)
最新发布
hap1994的博客
04-27 784
Content-Type(内容类型),一般是指网页中存在的 Content-Type,用于定义网络文件的类型和网页的编码,决定浏览器将以什么形式、什么编码读取这个文件,这就是经常看到一些 PHP 网页点击的结果却是下载一个文件或一张图片的原因。Content-Type 标头告诉客户端实际返回的内容的内容类型。
Node.js -- http模块
2302_79523175的博客
04-25 712
静态资源是指内容长时间不发生改变的资源,例如图片、视频、css文件 、js文件、HTML文件、字体文件等;动态资源是指内容经常更新的资源,例如百度首页、网易首页、京东搜索列表等这些资源都是相对于项目上线之后来说的。
tcp syn flood攻击防御
12-28
TCP SYN Flood攻击是一种常见的拒绝服务(DoS)攻击方式,攻击者通过发送大量的TCP SYN请求来消耗目标服务器的资源,导致正常用户无法访问该服务器。为了防御TCP SYN Flood攻击,可以采取以下几种方法: 1. SYN Cookie技术:当服务器收到一个TCP SYN请求时,不立即分配资源,而是根据请求的源IP地址和端口号生成一个加密的cookie,并将其发送给客户端。客户端在后续的请求中需要携带这个cookie才能建立连接。这样可以有效防止伪造的TCP SYN请求。 2. SYN Proxy:使用SYN Proxy可以将服务器的负载分散到多个代理服务器上,代理服务器负责接收和验证TCP SYN请求,并将合法的请求转发给目标服务器。这样可以减轻目标服务器的负载压力。 3. 防火墙设置:通过在防火墙上设置规则,限制对服务器的TCP SYN请求的数量和频率,可以有效减少攻击的影响。可以设置防火墙规则来限制每个IP地址的连接数或者限制每秒钟接收的TCP SYN请求的数量。 4. 流量清洗设备:流量清洗设备可以对进入服务器的流量进行实时监测和分析,识别并过滤掉恶意的TCP SYN请求,保护服务器免受攻击。 5. 负载均衡器:使用负载均衡器可以将流量分发到多个服务器上,从而分散攻击的影响。当一个服务器受到攻击时,负载均衡器可以将流量转发到其他正常的服务器上,确保服务的可用性。 6. 更新操作系统和应用程序:及时更新操作系统和应用程序的补丁可以修复已知的漏洞,提高服务器的安全性,减少受到攻击的风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值