一、什么是半连接队列和全连接队列
在TCP连接的服务端,linux内核会维护两个队列
- SYN队列,也成半连接队列
- accept队列,全连接队列
服务端收到客户端发起的 SYN 请求后,内核会把该连接存储到半连接队列,并向客户端响应 SYN+ACK,接着客户端会返回 ACK,服务端收到第三次握手的 ACK 后,内核会把连接从半连接队列移除,然后创建新的完全的连接,并将其添加到 accept 队列,等待进程调用 accept 函数时把连接取出来。
二、TCP全连接的查看和溢出
可以通过 ss 命令查看。
TCP全连接队列满了会怎么办?
通常情况下服务端会直接丢弃掉后续进来的连接,并统计个数。但是我们也可以选择向客户端发送RST复位报文,告诉客户端连接失败。
tcp_abort_on_overflow 共有两个值分别是 0 和 1,其分别表示:
- 0 :表示如果全连接队列满了,那么 server 扔掉 client 发过来的 ack ;
- 1 :表示如果全连接队列满了,那么 server 发送一个 reset 包给 client,表示废掉这个握手过程和这个连接;
如何增大TCP全连接队列?
TCP 全连接队列足最大值取决于 somaxconn 和 backlog 之间的最小值,也就是 min(somaxconn, backlog)。从下面的 Linux 内核代码可以得知:
- somaxconn:是 Linux 内核的参数,默认值是 128,可以通过 /proc/sys/net/core/somaxconn 来设置其值;
- backlog:listen(int sockfd, int backlog) 函数中的 backlog 大小,Nginx 默认值是 511,可以通过修改配置文件设置其长度;
TCP半连接队列溢出怎么办?
可以开启syncookies可以在不使用SYN半连接队列情况下成功建立连接。
**syncookies 是这么做的:**服务器根据当前状态计算出一个值,放在己方发出的 SYN+ACK 报文中发出,当客户端返回 ACK 报文时,取出该值验证,如果合法,就认为连接建立成功。
syncookies 参数主要有以下三个值:
- 0 值,表示关闭该功能;
- 1 值,表示仅当 SYN 半连接队列放不下时,再启用它;
- 2 值,表示无条件开启功能;
如何防御SYN攻击?
- 增大半连接队列大小;
- 开启syncookies;
- 减少SYN+ACK重传次数;
当服务端受到 SYN 攻击时,就会有大量处于 SYN_REVC 状态的 TCP 连接,处于这个状态的 TCP 会重传 SYN+ACK ,当重传超过次数达到上限后,就会断开连接。
那么针对 SYN 攻击的场景,我们可以减少 SYN+ACK 的重传次数,以加快处于 SYN_REVC 状态的 TCP 连接断开。
以上内容和图片参考TCP 半连接队列和全连接队列满了会发生什么?又该如何应对?
就是这事,散会!