大厂面试真题解析--Synflood攻击及Syncookies原理解析

已于 2024-08-16 21:43:58 修改
阅读量919 收藏 14
点赞数 15
文章标签: 网络 运维 面试
于 2024-08-16 21:43:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangzizhizu/article/details/141270297
版权

书接上回,在服务端没有及时收到客户端三次握手的ACK报文,或者客户端永远不会回复ACK(SYN Flood攻击手段)之后,会发生什么,我们该如何应对

上篇回顾:面试八股(11) 字节真题,关于TCP半连接与全连接队列的所有面试题

往期一线大厂面试真题

大厂面试必问:CPU使用率100%怎么办?运维高手这样回答!
字节面试真题–用户反馈网页访问慢,可能会有哪些原因
字节面试真题–TCP建立连接为什么要三次握手?为什么不是两次或者四次?
面试八股(五) TCP的三次握手与四次挥手过程【是详述可不是简单几句话哦】
面试八股(六) 腾讯面试真题:close_wait状态的原因是什么?该怎么办?
面试八股(七) TCP Keepalive和HTTP Keep-Alive有什么区别?
面试八股(八) Linux服务器拔网线或者断电,已建立的TCP连接会中断吗?
面试八股(九) 关于TCP TIME_WAIT状态的所有面试题都在这里了
面试八股(11) 字节真题,关于TCP半连接与全连接队列的所有面试题
面试八股(12) 大厂真题,你了解synflood攻击吗?该如何应对
服务端处于TCP TIME_WAIT状态的连接,客户端重用这个连接还能连上吗?

一、Synflood攻击原理

如下图,客户端发送SYN包给服务端之后,就不再响应服务端发来的SYN+ACK报文,那半连接队列中的连接就无法转移到全连接队列,半连接队列溢出,那后续正常的连接也就无法进来。

这就是我们所说的synflood攻击,也是比较常见的DDOS攻击手段

在这里插入图片描述

二、SYN Flood攻击的应对策略

  • 网络入口接高防设备(一种DDOS流量清洗设备,会过滤攻击请求,将正常请求放行)
  • 降低syn+ack的重传次数(默认是两次,对于大流量时攻击效果不明显):sysctl -w net.ipv4.tcp_synack_retries=1
  • 开启syncookies : sysctl -w net.ipv4.tcp_syncookies=1
  • TCP代理场景下(LVS代理场景)开启synproxy

三、SYN Cookies的工作原理

SYN Cookies的核心思想时在不分配任何资源的情况下完成SYN握手。

服务端在接收到SYN包后,会根据当前状态(已建立的连接数、序列号、时间戳等信息)计算一个cookie值,放入到SYN+ACK数据包中,发送给客户端。

在接收到客户端的ACK报文之后,会取出cookie值,进行验证,验证成功之后才会建立连接

在这里插入图片描述

syncookies内核参数有三个可选值:

  • 0 :表示关闭syncookies
  • 1 :表示仅当SYN半连接溢出才会启用【默认值】
  • 2 :表示默认开启

四、Syn proxy

Synproxy的常用于在TCP的代理层。正常逻辑是TCP代理设备会直接转发SYN包给后端服务器,Synproxy的机制,TCP代理会先于客户端进行三次握手,直到收到客户端发来的ACK报文之后,才会模拟客户端的SYN报文,同Server建立连接。

在这里插入图片描述

在Linux 3.13的内核中也默认支持了SYNPROXY的能力,它基于netfilter framework 和 connection tracking 模块实现。

实验测试提示:

# 服务端配置
iptables -t raw -A PREROUTING -i ens33 -p tcp --dport 8080 --syn -j NOTRACK
iptables -A INPUT -i ens33 -p tcp --dport 8080 -m state --state UNTRACKED,INVALID -j SYNPROXY --sack-perm --timestamp --mss 1480 --wscale 7 --ecn
echo 0 > /proc/sys/net/netfilter/nf_conntrack_tcp_loose

客户端发包:

# -S     指定SYN包
# -p     指定测试端口
# --flood 以泛红方式发包
# IP地址是我可测试环境的IP
hping3 -S -p 8080 --flood 192.168.162.134

测试观测

在上边的iptables规则添加与不添加的情况下,观测SYN_RECV的多少,以及观测是否有SYN包丢弃

# SYN_RECV的数量
netstat -anpt |grep SYN_RECV | wc -l

# 观测是否有SYN包丢弃
netstat -s |grep -i 'syns to listen sockets dropped'

五、写在最后

关于TCP相关的面试题我整理大厂的高频内容,如下,如果您最近也准备找工作,关注我哦。

此外,我还整理了关于SRE, 运维的大量面试真题(带答案),关注我的公众号:Linux运维实战派,回复“面试题” 免费领取。
在这里插入图片描述
在这里插入图片描述

叫我根号三
关注
SYNCookie原理
啊浪的博客
10-06 1459
发起一个TCP 连接时,客户端将一个SYN包发送给服务器。作为响应,服务器将SYN + ACK 包返回给客户端。此数据包中有一个序号,它被TC 用来重新组装数据流。 SYN Cookies是根据以下规则构造的初始序号: 令t为一个缓慢递增的时间戳(通常为time()>>6,提供64 秒的分辨率); 令m为服务器会在SYN 队列条目中存储的最大分段大小(Maximum ...
SYN Cookie原理和实现
dechen6073的博客
04-08 410
https://blog.csdn.net/zhangskd/article/details/16986931 本文主要内容:SYN Cookie原理,以及它的内核实现。 内核版本:3.6 Author:zhangskd @ csdn blog SYN Flood 下面这段介绍引用自[1]. SYN Flood是一种非常危险而常见的Dos攻击方式。到目前为止,能够有...
深入浅出TCP中的SYN-Cookies
品学楼A107
05-26 4015
本文渐进地介绍TCP中的syn-cookie技术,包括其由来、原理、实例测试。 SYN Flood 攻击 TCP连接建立时,客户端通过发送SYN报文发起向处于监听状态的服务器发起连接,服务器为该连接分配一定的资源,并发送SYN+ACK报文。对服务器来说,此时该连接的状态称为半连接(Half-Open),而当其之后收到客户端回复的ACK报文后,连接才算建立完成。在这个过程中,如果服务器一直没有...
SYN Cookie原理及其在Linux内核中的实现
【水能凝冰,冰自坚】的专栏
05-07 917
概述 在目前以IPv4为支撑的网络协议上搭建的网络环境中,SYN Flood是一种非常危险而常见的DoS攻击方式。到目前为止,能够有效防范SYN Flood攻击的手段并不多,而SYN Cookie就是其中最著名的一种。SYN Cookie原理由D. J. Bernstain和 Eric Schenk发明。在很多操作系统上都有各种各样的实现。其中包括Linux。本文就分别介绍一下SYN Flo
运维面试八股--TCP的半连接队列与全连接队列的全部面试题都在这了
wangzizhizu的博客
08-15 917
TCP的半连接队列与全连接队列,在大厂面试题是经久不衰的题目。我这里整理大部分可能的问法。收藏我,搞定面试进入大厂
Java大厂面试真题解析大全,2024年Java开发实战
2401_83703893的博客
03-19 789
这里是小编拿到的学习资源,其中包括“中高级Java开发面试高频考点题笔记300道.pdf”和“Java核心知识体系笔记.pdf”文件分享,内容丰富,
大厂Mysql高频面试题!价值2000元的Java学习资源泄露
m0_56830858的博客
05-21 86
前言 从接触编程就开始使用 Git 进行代码管理,先是自己玩 Github,又在工作中使用 Gitlab,虽然使用时间挺长,可是也只进行一些常用操作,如推拉代码、提交、合并等,更复杂的操作没有使用过,看过的教程也逐渐淡忘了,有些对不起 Linus 大神。 出来混总是要还的,前些天就遇到了 Git 里一种十分糟心的场景,并为之前没有深入理解 Git 命令付出了一下午时间的代价。 先介绍一下这种场景,我们一个项目从 N 版本升到 A 版本时引入了另一项目的 jar 包,又陆续发布了 B、C 版本,但在 C 版
价值2000元的Java学习资源泄露,面试
05-14 79
前言 从接触编程就开始使用 Git 进行代码管理,先是自己玩 Github,又在工作中使用 Gitlab,虽然使用时间挺长,可是也只进行一些常用操作,如推拉代码、提交、合并等,更复杂的操作没有使用过,看过的教程也逐渐淡忘了,有些对不起 Linus 大神。 出来混总是要还的,前些天就遇到了 Git 里一种十分糟心的场景,并为之前没有深入理解 Git 命令付出了一下午时间的代价。 先介绍一下这种场景,我们一个项目从 N 版本升到 A 版本时引入了另一项目的 jar 包,又陆续发布了 B、C 版本,但在 C 版
syn.exe --(HUC SYN Flood Tool V0.2)
04-22
软件说明: 在命令提示符下运行,只支持NT/2000/XP/03系统 中国红客联盟(HUC) 在鼎盛时期的DDOS作品 上传只为学习之用,禁止用于非法途径!
Linux下基于SYN Cookie的防SYN Flood攻击的实现与改进.pdf
09-06
在TCP连接建立过程中,客户端向服务器发送SYN报文,服务器收到后返回SYN-ACK报文,客户端则返回ACK报文以确认连接的建立。如果攻击者发送大量的SYN报文,而不发送ACK报文,那么服务器将等待超时后重试,导致服务器的...
TCP协议的SYN Flood攻击原理详细讲解
10-09
TCP协议的SYN Flood攻击网络层的一种拒绝服务(DDoS)攻击手段,它通过大量伪造的SYN请求,使目标服务器陷入持续的握手过程,消耗大量资源,从而导致正常服务无法进行。TCP协议作为互联网上的重要协议,因其可靠的...
DDoS攻击--Syn_Flood攻击防护详解(TCP)
热门推荐
一只IT小小鸟
08-22 5万+
Syn_Flood概述 Syn-Flood攻击是当前网络上最为常见的DDoS攻击,也是最为经典的拒绝服务攻击,它利用了TCP协议实现上的一个缺陷,通过向网络服务所在端口发送大量的伪造源地址的攻击报文,就可能造成目标服务器中的半开连接队列被占满,从而阻止其他合法用户进行访问。 这种攻击早在1996年就被发现,但至今仍然显示出强大的生命力。很多操作系统,甚至防火墙、路由器都无法有效地防御这种攻击,...
为什么TCP(TIME_WAIT)2倍MSL
最新发布
weixin_44102162的博客
11-01 308
MSL(最大报文段生存时间)是TCP协议中定义的一个常量,表示TCP报文在网络中存活的最长时间。等待2倍MSL的原因是为了给报文提供足够的时间消失或确认。第一个MSL:等待网络中的FIN和ACK报文到达对方,确保双方完成连接关闭。第二个MSL:等待可能在网络中滞留的所有旧报文完全失效,避免与未来的新连接混淆。TIME_WAIT状态在TCP协议中扮演了确保数据完整性和网络可靠性的角色,通过2倍MSL时间的等待机制,防止ACK丢失以及旧报文干扰新连接。
如何使用SOCKS5代理提升匿名性
dailiip1的博客
10-30 871
SOCKS5代理作为一种高效的网络匿名技术,能够为使用者提供多样化的应用场景和显著的隐私保护优势。透过正确配置和合理使用SOCKS5代理,使用者可以有效提升线上安全性,规避潜在的网络监控和攻击风险,享受更安全和自由的网络体验。未来随着网络安全需求的不断增长,SOCKS5代理技术的应用和发展将更加广泛和深入,为用户创造更安全可靠的网络环境。
tcp shutdown, fin_wait1, fin_wait2, close_wait, last_ack, 谢特!
Netfilter
10-31 872
状态很奇怪,人们很难接受一个连接在非 ESTABLISHED 状态下正常传输数据,这会引来一堆咨询,但根据 TCP 状态机,这又是合理的,client 单向关闭了发送,FIN 就过去了,server 回复了 FIN,进入 CLOSE_WAIT,client 收到回复进入 FIN_WAIT_2,而 server 在 CLOSE_WAIT 下发数据,client 在 FIN_WAIT_2 下是完全合理的。但如果应用程序希望如此呢?TCP 的 RFC793 并未规定状态超时时间,为完整闭环这是合理的。
第三章 I O 输入输出简介 - Use 命令
yaoxin521123的博客
10-28 286
此命令使指定设备成为当前设备,并将特殊变量$IO设置为该设备。要使用主设备以外的设备,必须首先对其发出OPEN命令;否则,将收到错误。参数的含义与OPEN命令中的相同。
嵌入式系统中的网络链接如何实现远程监控和控制
teach2004的博客
10-31 200
随着物联网(IoT)的快速发展,嵌入式系统在各类设备中的应用日益普及。通过网络连接,嵌入式系统能够实现远程监控和控制,为用户带来极大的便利和灵活性。嵌入式系统通过网络链接实现远程监控和控制,极大地提升了设备的智能化和便利性。随着技术的不断进步,未来的嵌入式系统将在各个领域发挥更大的作用。· 数据采集:嵌入式系统定期收集传感器数据,并通过网络将数据发送到服务器。· 工业自动化:工厂通过远程监控设备的状态,实现生产过程的优化和故障预警。· 数据存储:服务器将接收到的数据存储在数据库中,方便后续分析和处理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值