3.6 SYN Cookie

最新推荐文章于 2023-02-27 12:30:44 发布
最新推荐文章于 2023-02-27 12:30:44 发布
阅读量2k 收藏
点赞数 1
分类专栏: TCP协议 TCP协议详解 文章标签: linux内核 tcp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011130578/article/details/44465583
版权
TCP SYN Cookie是一种防御SYN Flood攻击的策略。当服务器接收到SYN请求时,不立即建立连接信息,而是生成cookie作为序列号,并在SYN|ACK中传递。客户端响应ACK后,服务器通过ACK中的信息重建连接。攻击者必须完成完整三次握手,增加了攻击成本。然而,若客户端未开启时间戳,某些选项可能无法使用。
摘要由CSDN通过智能技术生成
在三次握手过程中,server端的TCP收到SYN请求后会建立一个request_sock保存在syn_table中。如果有恶意攻击者大量发送IP地址或端口不同的SYN包,则server端TCP的syn_table很快会被占满,而普通用户对server的正常访问会因为syn_table已满而被拒绝。这就是SYN Flood攻击。SYN Cookie技术就是为了应对SYN Flood攻击而产生的,它的原理是,在TCP服务器收到SYN包并返回SYN|ACK包时,不分配一个专门的数据区,而是根据这个SYN包计算出一个cookie值,在发送SYN|ACK时将这个cookie作为其序列号。在收到ACK包时,TCP服务器根据确认号得到之前的cookie,再根据这个cookie值检查这个ACK包的合法性。如果合法,再分配sock保存未来的TCP连接的信息。
    如果要Linux内核支持SYN Cookie功能,必须开启CONFIG_SYN_COOKIES编译选项。下面分析一下TCP对SYN Cookie功能的实现。

    TCP服务器在接收到SYN时,会调用tcp_v4_conn_request函数:

 1465 int tcp_v4_conn_request(struct sock *sk, struct sk_buff *skb)
1466 {
1467     struct tcp_options_received tmp_opt;
1468     struct request_sock *req;
1469     struct inet_request_sock *ireq;
1470     struct tcp_sock *tp = tcp_sk(sk);
1471     struct dst_entry *dst = NULL;  
1472     __be32 saddr = ip_hdr(skb)->saddr;
1473     __be32 daddr = ip_hdr(skb)->daddr;
1474     __u32 isn = TCP_SKB_CB(skb)->when;
1475     bool want_cookie = false;
1476     struct flowi4 fl4;   
1477     struct tcp_fastopen_cookie foc = { .len = -1 };
1478     struct tcp_fastopen_cookie valid_foc = { .len = -1 };
1479     struct sk_buff *skb_synack;    
1480     int do_fastopen;     
...
1486     /* TW buckets are converted to open requests without
1487      * limitations, they conserve resources and peer is
1488      * evidently real one.
1489      */
1490     if (inet_csk_reqsk_queue_is_full(sk) && !isn) {//如果存储request sock的accept队列已满且SYN包没有命中TIME_WAIT socekt
1491         want_cookie = tcp_syn_flood_action(sk, skb, "TCP");//如果用户使用sysctl_tcp_syncookies开启了syn cookie功能,则want_cookie为1
1492         if (!want_cookie)//如果使用syn cookie机制,不需要保存request sock,所以不需要受到accept queue的限制
1493             goto drop;   
1494     }
...
1506     req = inet_reqsk_alloc(&tcp_request_sock_ops);//申请一个request sock,但不会保存到accept queue中
1507     if (!req)
1508         goto drop;
...
1517     tcp_parse_options(skb, &tmp_opt, 0, want_cookie ? NULL : &foc);//如果使用syn cookie,则不能使用fast open功能,因为无处存储相关信息
1518                 
1519     if (want_cookie && !tmp_opt.saw_tstamp)//使用syn cookie时如果对端没有开启时间戳选项
1520         tcp_clear_options(&tmp_opt);  //则本端不支持SACK和窗口扩大选项,因为无处存储相关信息
...
1523     tcp_openreq_init(req, &tmp_opt, skb);
...
1537     if (want_cookie) {//使用syn cookie的话,
1538         isn = cookie_v4_init_sequence(sk, skb, &req->mss);//生成syn cookie并以之作为SYN|ACK的起始序列号
1539         req->cookie_ts = tmp_opt.tstamp_ok;
1540     } else if (!isn) {
...
1578     tcp_rsk(req)->snt_isn = isn;   
...
1598     skb_synack = tcp_make_synack(sk, dst, req,
1599         fastopen_cookie_present(&valid_foc) ? &valid_foc : NULL); 
...
1607     if (likely(!do_fastopen)) {
1608         int err;
1609         err = ip_build_and_send_pkt(skb_synack, sk, ireq->loc_addr,
1610              ireq->rmt_addr, ireq->opt);
1611         err = net_xmit_eval(err);
1612         if (err || want_cookie)//发送完SYN|ACK后,丢弃此request sock
1613             goto drop_and_free;
...
1629 drop_and_free:
1630     reqsk_free(req);
  1490:只有accpet队列满时才会启用syn cookie
最低0.47元/天 解锁文章
Remy1119
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux下基于SYN Cookie的防SYN Flood攻击的实现与改进.pdf
09-06
Linux下基于SYN Cookie的防SYN Flood攻击的实现与改进 Linux操作系统中,SYN Flood攻击是一种常见的DoS攻击方式,对服务器的性能造成了极大的影响。为了防止SYN Flood攻击,SYN Cookie是一种常用的防御方式。本文...
什么是SYN cookie
weixin_44390164的博客
09-27 2878
1. syn cookie是用来干嘛的 如上图,TCP建立连接过程中,服务端在第二次握手后会将连接放入半连接队列中。然后在第三次握手成功后,从半连接队列中移除加入到全连接队列中。 如果没有开启syn cookie,则当半连接队列满了之后,再有新的连接就会直接丢弃。 当开启了syn cookie后,就可以在不使用syn半连接队列的情况下成功建立连接。具体方法: 服务器收到syn请求(第一次握手)后,会根据当前状态计算出一个cookie值。放在syn+ack报文(第二次握手)中发出。 当客户端返
TCP SYN cookie的作用、原理、缺陷
超级码力
08-19 3746
SYN Flood 攻击 SYN cookie使用来抵御SYN 攻击的。SYN 攻击就是发很多的SYN给服务器,服务器收到SYN会为每个SYN创建一个TCB(Transmission Control Block),并将其放到半连接队列中。然而系统的半连接队列大小是有限制的(默认1024),如果半连接队列满了,服务器只能丢弃新来的请求了,从而正常的请求无法完成。 SYN Cookie概念 syn cookie究竟存在哪?它的实体就是服务器返回给客户端的ACK+SYN中的seq number。这个序列号本身也是
SYNCookie原理
啊浪的博客
10-06 1417
发起一个TCP 连接时,客户端将一个SYN包发送给服务器。作为响应,服务器将SYN + ACK 包返回给客户端。此数据包中有一个序号,它被TC 用来重新组装数据流。 SYN Cookies是根据以下规则构造的初始序号: 令t为一个缓慢递增的时间戳(通常为time()>>6,提供64 秒的分辨率); 令m为服务器会在SYN 队列条目中存储的最大分段大小(Maximum ...
SYN Cookie的原理和实现
大树叶 技术专栏
05-05 1432
本文主要内容:SYN Cookie的原理,以及它的内核实现。 内核版本:3.6 Author:zhangskd @ csdn blog   SYN Flood 下面这段介绍引用自[1]. SYN Flood是一种非常危险而常见的Dos攻击方式。到目前为止,能够有效防范SYN Flood攻击的手段并不多, SYN Cookie就是其中最著名的一种。   SYN Flood攻
SYN-Flood遭遇战——Linux内核SYN-Cookie实现探究
lucien的博客
07-25 3204
SYN Flood好使啊,成本低廉,简单暴力,杀伤力强,更重要的是:无解,一打一个准!这种攻击充分利用了TCP协议的弱点,可以很轻易将你的网络打趴下。如果监控和应急不到位的话,那就等着被用户骂吧。 虽说是无解,但还是可以想想办法在TCP协议上做点手脚在稍微防范下比较小规模的攻击的。至少不会沦落到随便找个小P孩搞一些PC机随便打一下,你的主机就跨了吧。 SYN Flood的基本原理就是耗尽你主机
F5的syn cookie防护技术
12-14
### F5的syn cookie防护技术:深度解析与应用 在当今网络环境中,拒绝服务(DOS)攻击是一种常见的安全威胁,旨在通过大量无效请求耗尽目标服务器资源,从而导致合法用户无法访问服务。F5作为业界领先的网络解决...
SYN-cookie 和地址状态监控
08-03
### SYN-cookie 技术及其原理 #### 一、SYN Flood 攻击简介 SYN Flood 是一种常见的分布式拒绝服务(DDoS)攻击方式之一,通过向目标服务器发送大量伪造源地址的 TCP SYN 请求包来消耗服务器资源。正常情况下,...
SYN Cookie原理及在Linux内核中的实现
03-04
SYN Cookie原理与Linux内核实现详解 SYN Flood攻击是一种常见的分布式拒绝服务(DoS)攻击手段,尤其在网络环境基于IPv4的TCP/IP协议栈中。这种攻击利用TCP协议的三次握手流程,通过发送大量伪造源地址的SYN请求,...
操作系统安全:syncookie配置.docx
06-01
操作系统安全:SYN Cookie配置详解 SYN Flood攻击是一种针对TCP协议栈的拒绝服务(Denial of Service,DoS)攻击方式,它利用了IPv4中TCP协议的三次握手过程。在TCP连接建立过程中,服务器在收到客户端的SYN请求后...
SYN Cookie
一枚野生程序员 —— Tim
02-07 1094
SYN泛洪攻击SYN攻击其实就是Server收到Client的SYN,Server向Client发送SYN-ACK之后未收到Client的ACK确认报文, 这样服务器就需要维护海量的半开连接 ,等待客户端的 ACK, 最终导致服务器资源耗尽(sync queue 满)而丢弃新的连接。 Server会不断重发SYN-ACK,Linux服务器默认直到63秒才断开连接! SYN...
防范SYN洪泛攻击的方法 -- SYN cookie
畅春园
07-17 1729
tcp的三次握手中,如果客户端不发送ACK来完成三次握手的第三步,那么通常一分多钟之后,服务器将中止半开连接并回收资源。如果攻击者发送大量的TCPSYN报文段,而不完成第三次握手的步骤,那么服务器会不断为这些半开连接分配资源,导致服务器的连接资源被消耗殆尽。..................
SYN cookie
weixin_59287292的博客
05-26 805
syn cookie的原理和syn-flood攻击的解决方法
内核TCPSYNCOOKIES
redwingz的博客
03-12 4642
如下PROC文件tcp_syncookies默认值为1,表明在套接口的SYN backlog队列溢出时,将开启SYNCOOKIES功能,抵御SYN泛洪攻击。如果tcp_syncookies设置为2,将会无条件的开启SYNCOOKIES功能。 $ cat /proc/sys/net/ipv4/tcp_syncookies 1 $ $ cat /proc/sys/net/ipv4/tcp_max_s...
SYN-COOKIE
奋斗中拥有
03-05 5841
作者 droplet   Cookie如何计算? cookie = MD5(srcip,dstip,sport,dport) 端口是否需要考虑哪?没有端口的话,可以少一点计算。 Syn-cookie是无状态的,在Gateway上,不会保存任何与connection相关的东西,所以不会占用gateway的资源,缺点就是需要计算cookie,CPU占用会高一点。 如果不考虑端口的话,c
Linux: config: CONFIG_SYN_COOKIES
mzhan017的博客
02-27 468
这个工具很容易被利用,而且会导致DOS工具,妨碍其他整个用户的接入。如果设置为Y,TCP/IP 堆栈将使用"SYN cookie"的加密质询协议,使合法用户能够继续连接,即使您的计算机受到攻击。SYN Cookie,对合法用户是透明的,用户无需更改其 TCP/IP 软件。如果发生SYN flooded,内核上报的源地址很可能是攻击者伪造的;如果这种情况经常发生,最好关闭SYN cookies功能。这里有一个设置是两分钟的valid 时间,如果校验的cookie超过了两分钟,会认为校验失败。
Linux SYN Cookie的原理以及代码实现
大树叶 技术专栏
08-27 5178
SYN Flood   下面这段介绍引用自[1]. SYN Flood是一种非常危险而常见的Dos攻击方式。到目前为止,能够有效防范SYN Flood攻击的手段并不多, SYN Cookie就是其中最著名的一种。   SYN Flood攻击是一种典型的拒绝服务(Denial of Service)攻击。所谓的拒绝服务攻击就是通过进行攻击,使受害主机或 网络
syn cookie
最新发布
10-09
Syn cookie 是一种用于防止 TCP SYN 攻击的技术。在 SYN 攻击中,攻击者发送大量伪造的 TCP SYN 请求,占用服务器资源并导致服务不可用。而使用 Syn cookie 技术,服务器可以在收到 SYN 请求时生成一个特殊的响应,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值