本文探讨了一种在TCP握手前通过利用TCP头部可选配置数据区进行安全验证的方法,以增强TCP长连接的安全性。通过在数据包中嵌入识别信息,防火墙可以在连接建立前过滤不符合条件的包,降低被洪水攻击的风险。作者提供了一个基于Linux netfilter的实现示例代码,该方案可与传统握手后验证策略结合,提高攻击成本,确保TCP连接的可靠性。
总所周知, 长连接是稳定, 效率高,而且操心最少的。 所以在自定义协议时。 或者物联网通讯或者基于其他什么socket通讯时。 大量的采用TCP协议。
那么TCP协议在使用时, 如何进行安全验证呢?
关于这个问题, 目前很多的实践方案是在三次握手成功后, 发送特定的消息内容或者其他特定内容进行校验。比如 加密后的心跳包, 或者鉴权密钥等等。这种方案实施简单。可实施性高。但也有缺点:
- 需要三次握手后才能确认客户端身份
- 可以使用telnet之类的命令确认端口已经开放。容易被洪水攻击
本文讨论的是另外一种思路: 在TCP层改造数据包来实现在握手前就进行校验。
TCP在进行握手时, 其数据头部位置有一个 可选配置数据区, 在此区域内可以携带20bytes的自定义字节。 通过这些字节来对数据的来源进行基本的识别和判断。在防火墙层拦截不符合条件的数据包。 此时, 约定内容的TCP数据包可以正常通讯, 而其他数据包将被拦截丢弃。
此种方案结合第一种方案联合使用, 提高攻击成本。 使TCP长连接更可靠。
文中只讲了大致的实现思路和原理;
我自己基于linux的 netfilter 实现了一套代码,大家可以借鉴参考:
https://github.com/MisterChangRay/custom-tcp-filter
1515
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
