什么是SYN攻击?
攻击者短时间伪造不同IP地址的SYN报文,快速占满backlog队列,使服务器不能为正常用户服务,SYN攻击是所有黑客攻击事件中最常见又最容易被利用的一种攻击手法,由来已久,破坏威力巨大。SYN攻击属于DOS攻击的一种, 它利用TCP协议缺陷,通过发送大量的半连接请求,耗费CPU和内存资源
TCP连接握手示意图
SYN_SENT 状态
• net.ipv4.tcp_syn_retries = 6
-主动建立连接时,发SYN的重试次数
• net.ipv4.ip_local_port_range = 32768 60999
-建立连接时本地口可用范围
SYN_RCVD 状态
• net.ipv4.tcp_max_syn_backlog
-SYN_RCVD状态连接的最大数
• net.ipv4.tcp_synack_retries
-被动建立连接时,发SYN/ACK的重试次数
服务端处理三次握手
如何应对SYN攻击?
SYN攻击的原理就是向服务器发送SYN数据包,并伪造源IP地址。服务器在收到SYN数据包时,会将连接加入backlog队列,并向源IP发送SYN-ACK数据包,并等待ACK数据包,以完成三次握手建立连接。 由于源IP地址是伪造的不存在主机IP,所以服务器无法收到ACK数据包,并会不断重发,同时backlog队列被不断被攻击的SYN连接占满,导致无法处理正常的连接小号cpu资源。
1、减少SYN-ACK数据包的重发次数(默认是5次)
sysctl -w net.ipv4.tcp_synack_retries=3
sysctl -w net.ipv4.tcp_syn_retries=3
2、增大backlog队列(默认是1024)
• net.core.netdev_max_backlog
-接收自网卡、但未被内核协议栈处理的报文队列长度
• net.ipv4.tcp_max_syn_backlog
-SYN_RCVD状态连接的最大个数
sysctl -w net.ipv4.tcp_max_syn_backlog=2048
3、超出处理能力时,对新来的SYN丢弃连接
• net.ipv4.tcp_abort_on_overflow
sysctl -w net.ipv4.tcp_abort_on_overflow=1
4、生成验证cookie,重连
• net.ipv4.tcp_syncookies = 1
sysctl -w net.ipv4.tcp_syncookies=1
-当SYN队列满后,新的SYN不进A队列,计算出cookie再以SYN+ACK中的序列号返回客户端,正常客户端发报文时,服务端根据报文中携带的cookie重新恢复连接
注意:synccookies是妥协版的TCP协议,失去了很多功能,所以先应优化服务端应用程序的负载能力,加大应用程序 backlog值
Tcp Fast Open
开启TFO,加速tcp处理
net.ipv4.tcp_fastopen :系统开启TFO功能
• 0 :关闭
• 1 :作为客户端时可以使用TFO
• 2 :作为服务器时可以使用TFO
• 3 :无论作为客户端还是服务器,都可以使用TFO
sysctl -w net.ipv4.tcp_fastopen=3
禁用Nagle算法?
Nagle算法
-避免一个连接上同时存在大量小报文 . 最多只存在要给小报文 . 合并多个小报文一起发送
-提高带宽利用率
吞吐量优先:启用Nagle算法,tcp_nodelay off
低时延优先:禁用Nagle算法,tcp_nodelay on
示例:禁用跟启用Nagle算法示意
Syntax: tcp_nodelay on | off;
Default: tcp_nodelay on;
Context: http, server, location
Gzip指指令令
nginx中gzip的主要作用就是用来减轻服务器的带宽问题,经过gzip压缩后的页面大小可以变为原来的30%甚至更小,这样用户浏览页面时的速度会快很多。gzip的压缩页面需要浏览器和服务器双方都支持,实际上就是服务器端压缩,传到浏览器后浏览器解压缩并解析。目前的大多数浏览器都支持解析gzip压缩过的页面。
参数说明:
语法:gzip on | off;
默认值:gzip off;
作用域:http, server, location, if in location
语法:gzip_min_length length;
默认值:gzip_min_length 20;
作用域:http, server, location
说明:
设置允许压缩的页面最小字节数,页面字节数从header头中的Content-Length中进行获取。因为过小的文件内容压缩之后效果不明显,甚至会比不压缩时更大,所以一般建议长度不小于1000或1k。
响应头响应浏览器使用gzip解压
gzip_buffers
语法: gzip_buffers number size;
默认值: gzip_buffers 32 4k|16 8k;
作用域: http, server, location
说明:
设置response响应的缓冲区大小。32 4k代表以4k为单位将响应数据以4k的32倍(128k)的大小申请内存。如果没有设置,缓冲区的大小默认为整个响应页面的大小。
gzip_comp_level
语法:gzip_comp_level level;
默认值:gzip_comp_level 1;
作用域:http, server, location
说明:
设置gzip的压缩级别,可接受的范围是从1到9,数字越大压缩率越高,但更消耗CPU,一般设置6即可。
gzip_types
语法:gzip_types mime-type ...;
默认值:gzip_types text/html;
作用域:http, server, location
说明:
指定哪些类型的相应才启用gzip压缩,多个用空格分隔。通配符”*”可以匹配任意类型。
不管是否指定”text/html”类型,该类型的响应总是启用压缩。
一般js、css等文本文件都启用压缩,如application/x-javascript text/css application/xml 等。
具体的文件类型对应的mimi-type可以参考conf/mime.types文件。
gzip_http_version
语法:gzip_http_version 1.0 | 1.1;
默认值:gzip_http_version 1.1;
作用域:http, server, location
说明:
设置gzip压缩所需要的请求的最小HTTP版本,低于该版本不使用gzip压缩。一般不用修改,默认即可。
gzip_disable
gzip_disable “MSIE [1-6]\.”
语法:gzip_disable regex ...;
默认值:—
作用域:http, server, location
说明:
这个指令是在0.6.23版本增加的。
如果请求的”User-Agent”头信息能被指定的正则表达式匹配,则对响应禁用gzip压缩功能。主要是为了兼容不支持gzip压缩的浏览器,比如IE6,不过IE6早就废弃了
浏览器和服务器进行gzip压缩的请求和处理返回过程
整个请求过程来看,开启 gzip 和不开启 gzip 功能,其 http 的请求和返回过程是一致的,不同的是参数。
当开启HTTP的 gzip 功能时,客户端发出 http 请求时,会通过 headers 中的 Accept-Encoding 属性告诉服务器“我支持 gzip 解压,解压格式(算法)
deflate , sdch 为:”。```Accept-Encoding:gzip,deflate,sdch`
注意,不是request说自己支持解压,Nginx返回response数据的时候就一定会压缩。这还要看本次Nginx返回数据的格式是什么,如果返回数据的原始数据格式,和设置的gzip_types相符合,这时Nginx才会进行压缩。
Nginx 返回 response headers 是,如果数据被压缩了,就会在 Content-Encoding 属性中标示 gzip ,表示接下来返回的response
content 是经过压缩的;并且在 Content-Type 属性中表示数据的原始格式。 最后返回经过压缩的 response content 给客户端,客户端再进行解压。这里注意一下,在客户端发送的 headers 里面,有一个 deflate,sdch 。这是两种压缩算法