TCP SYN-Cookie的原理和扩展

最新推荐文章于 2022-08-29 03:47:24 发布
最新推荐文章于 2022-08-29 03:47:24 发布
阅读量232 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gdfhhj/article/details/86563972
版权
本文深入探讨TCP SYN-Cookie机制,包括其用于防止SYN Flood攻击的编码和解码过程,以及在Linux中的实现。同时,文章讨论了SYN-Cookie可能带来的副作用,如CPU DDOS攻击和TCP选项的协商问题。附带用户态测试代码,帮助理解该技术。
摘要由CSDN通过智能技术生成
               

SYN-Cookie概述

预防半连接攻击,SYN-Cookie是一种有效的机制,它的基本原理非常简单,那就是“完成三次握手前不为任何一个连接分配任何资源”,它是怎么做到的呢?也是非常简单。

1.编码信息

将一些本应该在本地保存的信息编码到返回给客户端的SYN-ACK的初始化序列号或者时间戳里面。握手尚未完成不分配任何资源(Linux即不分配request结构体)。

2.解码信息

等到客户端的ACK最终到来的时候,再从ACK序列号里面解码出保存的信息。

3.建立连接

利用第2步解码出来的信息建立一个TCP连接,此时因为握手已经完成,可以分配资源了。
我们接下来通过图示和代码来看一下编码和解码的过程。

编码过程图示


解码过程图示


问题

通过上面的编码解码过程中好像没有什么check/compare操作,一般而言,对于类似HASH或者摘要的算法,都需要对信息进行比对,比如对一段信息生产一个摘要,为了确保该信息没有被篡改,需要再次使用相同的算法生成摘要,如果两段摘要的值不同,说明信息被篡改了!对于上面的算法,在生产Cookie的时候,我们注意到使用hash算法对元组生产了一个值,但是对于解码的过程,它并没有再次计算这个值与原始携带的值做比对,这样合理吗?
        这事实上是Linux的一个hack!Linux将一段data做了限定,比如它的值严格在0-7之间,将这个data一同参与运算,而不是仅仅将其编码到固定的某几个bit,算法寄希望于:如果数据是伪造的或者被篡改了,那么解码出来的data的值仍然处在规定的严格区间里的可能性微乎其微!

测试代码

我们来看一个用户态的测试代码,说明一下24比特数据的编码和解码的过程:

#include <stdlib.h>#i
最低0.47元/天 解锁文章
满舅舅
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux内核协议栈 TCP系统参数详解
10-20 711
TCP/IP协议中,TCP协议提供可靠的连接服务,采用三次握手建立一个连接。 第一次握手:建立连接时,客户端发送syn包(syn=x)到服务器,并进入SYN_SEND状态,等待服务器确认; 第二次握手:服务器收到syn包,必须确认客户的SYN(ack=x+1),同时自己也发送一个SYN包(syn=y),即SYN+ACK包,此时服务器进入SYN_RECV状态; 第三次握手:客户端收到服务器的SYN+ACK包,向服务器发送确认包ACK(ack=y+1),此包发送完毕,客户端和服务器进入ESTABLISHE
TCP 与 HTTP
Jankin_Nian的博客
05-16 7214
一、TCP 1、TCP协议 TCP是一个可靠的,面向连接的,面向字节流、全双工的协议。发送端在发送数据以后,启动一个定时器,如果超时没有收到对端确认会进行重传,接收端利用序· **可靠的:**TCP 是在 IP 的基础上构建的传输协议,而 IP 是一种无连接不可靠的协议,它尽最大可能将数据报从发送者传输给接收者,但并不保证包到达的顺序会与它们被传输的顺序一致,也不保证包是否重复,甚至都不保证包是否会达到接收者。所以TCP他必须通过自身的机制来保障自己的可靠性,从五个方面入手 对每个包进行校验和:每个T
SYN Cookie原理及在Linux内核中的实现
03-04
在目前以IPv4为支撑的网络协议上搭建的网络环境中,SYN Flood是一种非常危险而常见的DoS攻击方式。到目前为止,能够有效防范SYN Flood攻击的手段并不多,而SYN Cookie就是其中最著名的一种。SYN Cookie原理由D. J. Bernstain和 Eric Schenk发明。在很多操作系统上都有各种各样的实现。其中包括Linux。本文就分别介绍一下SYN Flood攻击和SYN Cookie原理,更重要的是介绍Linux内核中实现SYN Cookie的方式。最后,本文给出一种增强目前Linux中SYN Cookie功能的想法。
SYN Cookie原理和实现
weixin_30457465的博客
01-06 1003
本文主要内容:SYN Cookie原理,以及它的内核实现。 内核版本:3.6 Author:zhangskd @ csdn blog SYN Flood 下面这段介绍引用自[1]. SYN Flood是一种非常危险而常见的Dos攻击方式。到目前为止,能够有效防范SYN Flood攻击的手段并不多, SYN Cookie就是其中最著名的一种。 SYN Flo...
深入浅出TCP中的SYN-Cookies
品学楼A107
05-26 3929
本文渐进地介绍TCP中的syn-cookie技术,包括其由来、原理、实例测试。 SYN Flood 攻击 TCP连接建立时,客户端通过发送SYN报文发起向处于监听状态的服务器发起连接,服务器为该连接分配一定的资源,并发送SYN+ACK报文。对服务器来说,此时该连接的状态称为半连接(Half-Open),而当其之后收到客户端回复的ACK报文后,连接才算建立完成。在这个过程中,如果服务器一直没有...
TCP SYNCookie机制
书唐瑞的博客
08-29 1672
TCP SYN cookie机制
SYN Cookie
一枚野生程序员 —— Tim
02-07 1098
SYN泛洪攻击SYN攻击其实就是Server收到Client的SYN,Server向Client发送SYN-ACK之后未收到Client的ACK确认报文, 这样服务器就需要维护海量的半开连接 ,等待客户端的 ACK, 最终导致服务器资源耗尽(sync queue 满)而丢弃新的连接。 Server会不断重发SYN-ACK,Linux服务器默认直到63秒才断开连接! SYN...
F5的syn cookie防护技术
12-14
3. **剥离TCP窗口扩展和时间戳选项**:在启用syn cookie的情况下,BIG-IP在发送SYN+ACK响应时会移除TCP窗口扩展和时间戳选项,以此来保护用于编码秘密的syn cookie序列空间。 4. **客户端发送ACK响应**:如果BIG-IP...
TCP 拥塞控制详解
腾讯技术工程
05-28 2005
作者:engleliu,腾讯 PCG 开发工程师本文主要介绍 TCP 拥塞控制算法,内容多来自网上各个大佬的博客及《TCP/IP 详解》一书,在此基础上进行梳理总结,与大家分享。因水平有...
SYNCookie原理
啊浪的博客
10-06 1421
发起一个TCP 连接时,客户端将一个SYN包发送给服务器。作为响应,服务器将SYN + ACK 包返回给客户端。此数据包中有一个序号,它被TC 用来重新组装数据流。 SYN Cookies是根据以下规则构造的初始序号: 令t为一个缓慢递增的时间戳(通常为time()&gt;&gt;6,提供64 秒的分辨率); 令m为服务器会在SYN 队列条目中存储的最大分段大小(Maximum ...
TCP SYN-Cookie背后的人和事
奋斗中拥有
12-10 2512
SYN-Cookie Daniel J.Bernstein
TCP SYN cookie的作用、原理、缺陷
超级码力
08-19 3764
SYN Flood 攻击 SYN cookie使用来抵御SYN 攻击的。SYN 攻击就是发很多的SYN给服务器,服务器收到SYN会为每个SYN创建一个TCB(Transmission Control Block),并将其放到半连接队列中。然而系统的半连接队列大小是有限制的(默认1024),如果半连接队列满了,服务器只能丢弃新来的请求了,从而正常的请求无法完成。 SYN Cookie概念 syn cookie究竟存在哪?它的实体就是服务器返回给客户端的ACK+SYN中的seq number。这个序列号本身也是
SYN Cookie原理及其在Linux内核中的实现
09-17 427
内容: 概述 一 SYN Flood攻击 二 SYN Cookie原理 三 Linux内核中的SYN Cookie实现 四 SYN Cookie Firewall 总结 魏晋伟 (weijinwei@yahoo.com.cn) 2004 年 9 月 概述在目前以IPv4为支撑的网络协议上搭建的网络环境中,SYN Flood是一种非常危险而常见的DoS攻击方式。到目前为止,能够有效防范SYN Flo
个人理解TCPSYN Cookie
weixin_30555515的博客
09-07 329
  说起SYN Cookie还是得从TCP3次握手开始说起,先给出计网的体系结构图 然后解释一下SYN,seq,ack,ACK的相关名词 SYN(建立连接)ACK(确认后全部为1)PSH(传送)FIN(结束)RST(重置)URG(紧急) 产生SYN Flood(一种dos攻击方式):在建立三次握手的情况时,第二、三次握手,双方分别分...
ip6tables中的“-A FORWARD -o eth1 -p tcp -m tcp --tcp-flags SYN,RST SYN -m comment --comment "!fw3: Zone wan MTU fixing" -j TCPMSS --clamp-mss-to-pmtu”中的TCPMSS 如何修改TCP SYN包的最大字段大小
最新发布
06-09
在ip6tables规则中,TCPMSS用于修改TCP SYN包的最大字段大小。如果你想修改TCP SYN包的最大字段大小,可以将TCPMSS后面的参数--clamp-mss-to-pmtu修改为--set-mss <value>,其中<value>是你想设置的最大字段大小。例如,如果你想将最大字段大小设置为1400字节,可以将规则修改为: -A FORWARD -o eth1 -p tcp -m tcp --tcp-flags SYN,RST SYN -m comment --comment "!fw3: Zone wan MTU fixing" -j TCPMSS --set-mss 1400 请注意,修改TCP SYN包的最大字段大小可能会影响网络性能和稳定性,因此建议在进行修改之前进行充分的测试和评估。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值