总所周知, 长连接是稳定, 效率高,而且操心最少的。 所以在自定义协议时。 或者物联网通讯或者基于其他什么socket通讯时。 大量的采用TCP协议。
那么TCP协议在使用时, 如何进行安全验证呢?
关于这个问题, 目前很多的实践方案是在三次握手成功后, 发送特定的消息内容或者其他特定内容进行校验。比如 加密后的心跳包, 或者鉴权密钥等等。这种方案实施简单。可实施性高。但也有缺点:
- 需要三次握手后才能确认客户端身份
- 可以使用telnet之类的命令确认端口已经开放。容易被洪水攻击
本文讨论的是另外一种思路: 在TCP层改造数据包来实现在握手前就进行校验。
TCP在进行握手时, 其数据头部位置有一个 可选配置数据区, 在此区域内可以携带20bytes的自定义字节。 通过这些字节来对数据的来源进行基本的识别和判断。在防火墙层拦截不符合条件的数据包。 此时, 约定内容的TCP数据包可以正常通讯, 而其他数据包将被拦截丢弃。
此种方案结合第一种方案联合使用, 提高攻击成本。 使TCP长连接更可靠。
文中只讲了大致的实现思路和原理;
我自己基于linux的 netfilter 实现了一套代码,大家可以借鉴参考: