TCP SYNCookie机制

已于 2022-08-29 10:48:27 修改
阅读量1.5k 收藏 6
点赞数
分类专栏: 其他 文章标签: tcp/ip 网络 网络协议
于 2022-08-29 03:47:24 首次发布
书唐瑞
本文链接:https://blog.csdn.net/qq_45859054/article/details/126577117
版权

本篇文章在于浅尝辄止的分析TCP的SYNCookie机制

一个连接的建立需要进行TCP三次握手,如下图所示


在这里插入图片描述

简单来说,服务端收到客户端的SYN包之后,将连接放到半连接队列中, 当服务端再次收到客户端的ACK包之后,会将连接从半连接队列移到全连接队列中, 这样服务端的程序调用accept()方法的时候,就可以从全连接队列中获取到连接了.

这里要提到SYN Flood, 如果一个客户端在短时间内发送大量的SYN包给服务端,而且不发送ACK包给服务端, 这样会导致服务端的半连接队列很快就被填满了, 间接导致其他客户端无法与服务端完成三次握手.


接下来,通过实验模拟这样的场景,以及如何解决它.


【实验】
一台ubuntu-20.04机器作为服务端(IP=192.168.0.103), 一台Kali机器作为客户端(IP=192.168.0.102)



首先,需要修改一个服务端的配置文件(/etc/sysctl.conf),修改的文件内容如下
在这里插入图片描述

如果sysctl.conf文件中没有对应的属性值则自己手动添加

属性值的含义如下
net.ipv4.tcp_syncookies = 0 表示不开启SYNCookie机制
net.ipv4.tcp_max_syn_backlog = 5 设置半连接队列大小
net.core.somaxconn = 5 设置全连接队列大小

这里只是将半连接队列和全连接队列设置的小了一些, 除此之外没有其他特殊原因



接下来,在服务端,使用Python语言搭建一个简单的Server程序,代码如下

import socket
server=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
server.bind(('192.168.0.103',8082))
server.listen(5)

在这里插入图片描述
程序监听在8082端口



然后在客户端机器上,通过netwox命令,向服务端持续发送SYN包,模拟SYN Flood

在这里插入图片描述

以上命令会向192.168.0.103机器的8082端口发送SYN包

通过 apt install netwox 安装netwox命令

接下来, 我们看一下服务端的一些现象



在服务端执行 netstat -s | grep LISTEN 命令,可以查看半连接队列的情况
在这里插入图片描述
可以发现,被丢弃的SYN包的数量一直在增长. 因为客户端一直在向服务端发送SYN包, 当半连接队列满了之后,后面的SYN包只能被丢弃



在服务端执行 sudo tcpdump -nn -i enp0s8 port 8082 命令,如下图

在这里插入图片描述

192.168.0.103属于enp0s8网卡

可以发现, 客户端一直发送SYN包给服务端



而且通过查看系统日志,比如使用 dmesg 命令或者查看 /var/log/kern.log 文件,能够发现如下一行信息

在这里插入图片描述TCP: request_sock_TCP: Possible SYN flooding on port 8082. Dropping request.

大概意思是,在8082端口可能发生了SYN Flood攻击, 请求被丢弃了.



假如我们有另外一个客户端,向服务端正常的发送三次握手,比如执行 telnet 192.168.0.103 8082 命令

在这里插入图片描述
它会一直处于连接中,直到超时失败.



【总结】 由于半连接队列满了,导致客户端无法与服务端建立连接



针对上面的情况,TCP给出了一个解决思路,修改服务端的配置文件(/etc/sysctl.conf),将 net.ipv4.tcp_syncookies = 1 ,表示开启SYNCookie机制, 其他的无需修改, 继续上面的实验

通过 netstat -s | grep LISTEN 命令,可以发现SYN包没有再被丢弃 (被丢弃的数量没有发生变化)
在这里插入图片描述



再次通过dmesg命令查看系统日志,发现如下一行信息

在这里插入图片描述TCP: request_sock_TCP: Possible SYN flooding on port 8082. Sending cookies.
大概意思是,在8082端口可能发生了SYN Flood攻击, 发送了cookies.


是因为在服务端开启了SYNCookie机制, 即便半连接队列满了, 通过Cookie机制,依然可以保证让客户端连接到服务端.

这个时候通过另外一个客户端执行 telnet 192.168.0.103 8082 命令,是可以正常连接到服务端的,如下图

在这里插入图片描述

【总结】开启TCP的SYN Cookie机制,即便半连接队列满了,客户端也可以成功与服务端建立连接

书唐瑞
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
nmsynproxy:Netmap TCP SYN代理
04-26
辛普洛西 nmsynproxy是使用netmap,OpenDataPlane(ODP)或L Data Plane(LDP)的用于IPv4和IPv6Linux用户空间TCP SYN代理。 今天推荐的变体是LDP变体。 SYN代理混合使用SYN cookie和SYN缓存。 它还可以混合使用TCP序列号和TCP时间戳选项。 SYN cookie实现特别现代,并且有望比那里的大多数SYN cookie实现更好的性能,安全性和兼容性。 假设需要SYN cookie,因为SYN代理也使用SYN缓存,这与仅使用SYN cookieLinux iptables内核内SYN代理相反。 如果网络接口卡(NIC)具有多个队列,则支持多线程。 实际上,在启动nmsynproxy(ldpsynproxy会自动执行此操作)之前,需要将NIC队列计数调整为与线程数相同的数量。 ODP版本odpsynproxy对不
TCP 的那些事儿(上)
Sudouble的专栏
09-14 207
TCP是一个巨复杂的协议,因为他要解决很多问题,而这些问题又带出了很多子问题和阴暗面。所以学习TCP本身是个比较痛苦的过程,但对于学习的过程却能让人有很多收获。关于TCP这个协议的细节,我还是推荐你去看W.Richard Stevens的《TCP/IP 详解 卷1:协议》(当然,你也可以去读一下RFC793以及后面N多的RFC)。另外,本文我会使用英文术语,这样方便你通过这些英文关键词来查找相关的技术文档。 之所以想写这篇文章,目的有三个, 一个是想锻炼一下自己是否可以用简单的篇幅把这么复杂的TCP协议
TCP SYN cookie的作用、原理、缺陷
超级码力
08-19 3470
SYN Flood 攻击 SYN cookie使用来抵御SYN 攻击的。SYN 攻击就是发很多的SYN给服务器,服务器收到SYN会为每个SYN创建一个TCB(Transmission Control Block),并将其放到半连接队列中。然而系统的半连接队列大小是有限制的(默认1024),如果半连接队列满了,服务器只能丢弃新来的请求了,从而正常的请求无法完成。 SYN Cookie概念 syn cookie究竟存在哪?它的实体就是服务器返回给客户端的ACK+SYN中的seq number。这个序列号本身也是
深入浅出TCP中的SYN-Cookies
品学楼A107
05-26 3767
本文渐进地介绍TCP中的syn-cookie技术,包括其由来、原理、实例测试。 SYN Flood 攻击 TCP连接建立时,客户端通过发送SYN报文发起向处于监听状态的服务器发起连接,服务器为该连接分配一定的资源,并发送SYN+ACK报文。对服务器来说,此时该连接的状态称为半连接(Half-Open),而当其之后收到客户端回复的ACK报文后,连接才算建立完成。在这个过程中,如果服务器一直没有...
TCPSYNScan.rar_CAN 实例_tcp syn _tcpsyn
09-20
TCPSYNScan实例,TCPSYN称为半开放扫描。优点在于一般不会在目标计算机上留下记录
TCP SYN-Cookie的原理和扩展
热门推荐
Netfilter
05-21 1万+
SYN-Cookie概述预防半连接攻击,SYN-Cookie是一种有效的机制,它的基本原理非常简单,那就是“完成三次握手前不为任何一个连接分配任何资源”,它是怎么做到的呢?也是非常简单。1.编码信息将一些本应该在本地保存的信息编码到返回给客户端的SYN-ACK的初始化序列号或者时间戳里面。握手尚未完成不分配任何资源(Linux即不分配request结构体)。2.解码信息等到客户端的ACK最终到来的
TCP SYN-Cookie背后的人和事
奋斗中拥有
12-10 2485
SYN-Cookie Daniel J.Bernstein
Linux tcpsync cookie
zheng的博客
05-17 2144
1、常规的tcp连接里,server在收到client的sync报文后就会分配request_sock,并将其放到半连接队列里;如果server受到恶意攻击,攻击方不断的发sync包,发完就退出,这样server端的半连接队列很快就会被填满,导致无法进行正常的tcp sync请求,这也是常见的sync flood攻击。 针对这种问题,新增了sync cookie功能,为了支持该功能,内核新增了一个tcp_syncookies参数,先看下内核文档对该参数的描述: tcp_syncookies - BOO
个人理解TCP中SYN Cookie
weixin_30555515的博客
09-07 316
  说起SYN Cookie还是得从TCP3次握手开始说起,先给出计网的体系结构图 然后解释一下SYN,seq,ack,ACK的相关名词 SYN(建立连接)ACK(确认后全部为1)PSH(传送)FIN(结束)RST(重置)URG(紧急) 产生SYN Flood(一种dos攻击方式):在建立三次握手的情况时,第二、三次握手,双方分别分...
快速穷举TCP连接欺骗攻击-利用SYN Cookies
phymat.nico的专栏
12-17 2603
摘要   TCP 利用 32比特的 Seq/Ack 序列号来确认每一个连接的可靠性. 此外, 这些32位的序列号还能保证服务器不会被会话劫持,伪造一个服务器发出的初始序列号(ISN) 是个难以实现的技术. 因为暴力破解的话需要穷举这个32比特的序列号,在一个千兆比特级别的网卡上也是很难实现的. 今天的文章将为大家带来是如何利用 TCP SYN Cookies (一项广泛使用的用来防止SYN
高性能 TCP SYN 端口扫描器。
06-28
无敌舰队高性能 TCP SYN 扫描器什么是无敌舰队?Armada 是一个高性能的 TCP SYN 扫描器。这相当于使用-sS扫描类型时 nmap 可能执行的扫描类型。Armada 的主要目标是回答基本问题“此端口是否开放?”。然后由您或您的工具进一步挖掘以确定开放端口的用途。如何安装 Armada?如果您没有安装rustup ,请访问rustup网站并按照那里的说明开始。你以后cargo安装,运行cargo install armada 。由于 Armada 使用原始套接字来执行端口扫描,您要么需要以 root 身份运行,要么为 Armada 二进制文件提供CAP_NET_RAW功能。我的建议是后者。一个完整的安装,在通过rustup安装了cargo之后,看起来像这样:cargo install armada sudo setcap 'cap_net_raw+ep' $(which armada)我如何运行 Armada?Armada 通过运行armada -h来提供帮助文档;但是,如果您想立即开始,执行端口扫描的典型方法如下:armada <IP> -p <PORT
tcp syn 扫描
04-22
基于window2000 tcp syn扫描实现
python 使用raw socket进行TCP SYN扫描实例
09-16
主要介绍了python 使用raw socket进行TCP SYN扫描实例,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
一则 TCP 缓存超负荷导致的 MySQL 连接中断的案例分析
ActionTech的博客
04-24 917
除了 MySQL 本身之外,如何分析定位其他因素的可能性?作者:龚唐杰,爱可生 DBA 团队成员,主要负责 MySQL 技术支持,擅长 MySQL、PG、国产数据库。爱可生开源社区出品,原创内容未经授权不得随意使用,转载请联系小编并注明来源。本文约 1200 字,预计阅读需要 3 分钟。
首页最新 多IP浏览器防关联:如何配置多个独立且稳定的IP地址?
最新发布
yugekuajing的博客
04-30 342
在互联网时代,IP地址的重要性不言而喻。然而,IP关联问题却成为一项令人担忧的隐私和安全挑战。针对这个问题,多IP浏览器是一种解决方案,可以帮助用户单独配置多个独立且稳定的IP地址,有效地防止IP关联。
IP归属地在互联网行业中的应用
m0_73834612的博客
04-26 498
在电子商务和金融领域,IP归属地也被用于反欺诈和风险控制。例如,如果用户的登录IP地址突然发生跨国或异常变化,系统可能会触发风险提示,要求进行额外的身份验证,以防止欺诈行为的发生。通过分析用户的IP地址,服务提供商可以快速确定用户所在的地理位置,从而提供更贴近用户需求的服务和产品。通过分析恶意IP地址的地理位置信息,安全专家可以迅速定位攻击源,并采取相应的防御措施,保护系统和数据的安全。随着技术的不断进步和数据分析能力的提升,IP归属地将发挥越来越重要的作用,为互联网行业的发展和用户体验提供更多可能性。
WSL2无法ping通本地主机ip的解决办法
人工智能
04-23 469
WSL2无法ping通本地主机ip的解决办法: 刚装完WSL2的Ubuntu子系统时,可能无法ping通本地主机的ip ping通了,完美解决!
TCP、UDP客户端
m0_73929315的博客
04-23 1285
int main(int argc, const char *argv[])//argv[1] IP argv[2] 端口号。int main(int argc, const char *argv[])//argv[1] IP argv[2] 端口号。printf("创建报式套接字成功 cfd=%d __%d__\n",cfd,__LINE__);printf("服务器下线 __%d__\n",__LINE__);//填充客户端自身的地址信息,给bind函数绑定使用;//填充服务器的地址信息。
Java 网络编程之TCP(五):分析服务端注册OP_WRITE写数据的各种场景(一)
u013771019的专栏
04-24 377
二、注册OP_WRITE,在写状态满足情况下,通过java.nio.channels.SocketChannel#write(java.nio.ByteBuffer)方法写。服务端在有数据需要发送给客户端的情况下,直接使用客户端对应的SocketChannel写数据即可,不考虑数据是否可以正常发送。在前面的文章中,我们分析了在NIO模式下,服务端接收和读取多个客户端数据的情况;本文,我们看下NIO模式下,使用Selector如何把数据发送给客户端。我们可以基于聊天室的功能,把收到的数据直接写给其他客户端。
SYN cookie
08-17
SYN cookie机制通过将服务器的状态信息编码到TCP SYN-ACK包中的序列号字段中,而不是保存在服务器端的内存中,来避免资源耗尽。具体来说,服务器根据客户端的源IP地址、端口号等信息生成一个伪随机数,将该随机数的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值