syn-proxy源码分析(1)

最新推荐文章于 2021-05-13 07:34:13 发布
最新推荐文章于 2021-05-13 07:34:13 发布
阅读量222 收藏
点赞数
文章标签: 数据结构与算法 网络
原文链接:http://blog.51cto.com/10843840/2359415
版权

syn-proxy logic1

依赖NF_INET_PRE_ROUTING链上的ip_vs_pre_routing()hook函数来向client发送SYN ACK报文。ip_vs_pre_routing()源码如下:


ip_vs_pre_routing(unsigned int hooknum, struct sk_buff *skb,
const struct net_device *in, const struct net_device *out,
int (*okfn) (struct sk_buff *))
{ 
    struct ip_vs_iphdr iph;

    /* address family */
    int af; 
    struct ip_vs_service *svc; 

   af = (skb->protocol == htons(ETH_P_IP)) ? AF_INET : AF_INET6; 

   ip_vs_fill_iphdr(af, skb_network_header(skb), &iph);

   /* drop all ip fragment except ospf */
  if ((af == AF_INET)

     /* 通过判断ip header中frag_off字段及MF(More Fragment字段确定该包是否为ip分片包) */
     && (ip_hdr(skb)->frag_off & htons(IP_MF | IP_OFFSET)) 

     /* 不drop ospf协议包,并交给协议栈继续处理 */
     && (iph.protocol != IPPROTO_OSPF)) { 
  if(sysctl_ip_vs_frag_drop_entry == 1) { 
      IP_VS_INC_ESTATS(ip_vs_esmib, DEFENCE_IP_FRAG_DROP);
     return NF_DROP;
  } else {
     if (ip_vs_gather_frags(skb, IP_DEFRAG_VS_IN))
       return NF_STOLEN;

     IP_VS_INC_ESTATS(ip_vs_esmib, DEFENCE_IP_FRAG_GATHER);
     ip_vs_fill_iphdr(af, skb_network_header(skb), &iph);
  } 
} 

  /* drop udp packet which send to tcp-vip */
  if ((sysctl_ip_vs_udp_drop_entry == 1) && (iph.protocol == IPPROTO_UDP)) {

    /* 在svc链表中根据协议族、传输层协议及vip三者的hash key查找对应hash bucket中满足条件的svc结构体 (当bucket数量足够多时,每个hash key对应的bucket中只有一个svc结构体,查找复杂度为O(1))*/
    if ((svc =
         ip_vs_lookup_vip(af, IPPROTO_TCP, &iph.daddr)) != NULL) {
           IP_VS_INC_ESTATS(ip_vs_esmib, DEFENCE_UDP_DROP);
           return NF_DROP;
  } 
}

  /* synproxy: defence synflood */
  if (iph.protocol == IPPROTO_TCP) {
    int v = NF_ACCEPT;

    /* 构建回给client的syn-ack包,利用变量v作为该hook函数的返回值 */

    if (0 == ip_vs_synproxy_syn_rcv(af, skb, &iph, &v)) {
      return v;
  } 
} 

  return NF_ACCEPT;
}

ip_vs_synproxy_syn_rcv()实现如下:

int 
ip_vs_synproxy_syn_rcv(int af, struct sk_buff *skb,
struct ip_vs_iphdr *iph, int *verdict)
{ 
  struct ip_vs_service *svc = NULL;
  struct tcphdr _tcph, *th; 
  struct ip_vs_synproxy_opt tcp_opt;

  /* 获取client syn包的tcp header */
  th = skb_header_pointer(skb, iph->len, sizeof(_tcph), &_tcph);
  if (unlikely(th == NULL)) {
    goto syn_rcv_out;
} 
  /* 判断是否为syn包  */
  if (th->syn && !th->ack && !th->rst && !th->fin &&

      /* 根据传输层协议和目标地址及目标端口获取对应的svc结构体 */
      (svc =
       ip_vs_service_get(af, skb->mark, iph->protocol, &iph->daddr,
                              th→dest))

       /* 若syn-proxy未打开,则该包将由协议栈继续处理 */
       && (svc->flags & IP_VS_CONN_F_SYNPROXY)) {
         // release service here, because don't use it any all.
         ip_vs_service_put(svc);

         if (ip_vs_todrop()) {
           /* 
            * It seems that we are very loaded.
            * We have to drop this packet :(
            */
             goto syn_rcv_out;
         } 
  } else {
        /* 
         * release service.
         */ 
         if (svc != NULL) {
           ip_vs_service_put(svc);
         } 
         return 1;
  } 

  /* update statistics */
  IP_VS_INC_ESTATS(ip_vs_esmib, SYNPROXY_SYN_CNT);

  /* Try to reuse skb if possible */

  /* 确保该skb当前只被一个user使用,且不是clone得到的(clone的skb是共享数据,在正常情况下不能写入) */

  if (unlikely(skb_shared(skb) || skb_cloned(skb))) {

      /* 复制一个私有的且能够修改其header和data的skb,若只需要修改header则需要调用pskb_copy() */
      struct sk_buff *new_skb = skb_copy(skb, GFP_ATOMIC);
      if (unlikely(new_skb == NULL)) {
        goto syn_rcv_out;
      } 
      /* Drop old skb */
     kfree_skb(skb);
     skb = new_skb;
  } 

  /* reuse skb here: deal with tcp options, exchage ip, port. */

  syn_proxy_reuse_skb(af, skb, &tcp_opt);

  /* syn_proxy_reuse_skb()主要完成以下任务:

   * 1. 设置syn-ack包tcp option:解析client syn包中的tcp option,并根据这些option及sysctl相关参数,确定syn-ack包的tcp option

   * 2. 生成syn-ack包seq number:根据client syn包中的源地址、目标地址、源端口、目标端口、seq number、系统启动时长(jiffies / (HZ * 60))以及tcp option拼成的data使用sha1算法得到cookie_hash(__u32)即init_seq_number

   * !!!:在启用synproxy的情况下,服务器收到syn包时,不会分配专门的数据区,而是根据这个syn包计算出一个cookie值,这个cookie作为将要返回的SYN ACK包的初始序列号。当客户端返回一个ACK包时,根据包头信息计算cookie,与返回的确认序列

   * !!!   号(初始序列号 + 1)进行对比,如果相同,则是一个正常连接,然后,分配资源,建立连接。

   * 3. 设置syn-ack包syn ack flag(0x12)

   * 4. 交换tcp header中的源目的端口

   * 5. 确定ip header中的源目的ip、ttl、tos(缺省为0)

   * 6. 计算ip header和tcp checksum

   */

  if (unlikely(skb->dev == NULL)) {
    IP_VS_ERR_RL("%s: skb->dev is null !!!\n", __func__);
    goto syn_rcv_out;
  } 

  /* Send the packet out */
  if (likely(skb->dev->type == ARPHRD_ETHER)) {
      unsigned char t_hwaddr[ETH_ALEN];
  /* 设置2层信息 */
  /* Move the data pointer to point to the link layer header */
  struct ethhdr *eth = (struct ethhdr *)skb_mac_header(skb);
  skb->data = (unsigned char *)skb_mac_header(skb);
  skb->len += ETH_HLEN; //sizeof(skb->mac.ethernet);

  memcpy(t_hwaddr, (eth->h_dest), ETH_ALEN);
  memcpy((eth->h_dest), (eth->h_source), ETH_ALEN);
  memcpy((eth->h_source), t_hwaddr, ETH_ALEN);
  skb->pkt_type = PACKET_OUTGOING; 
  } else if (skb->dev->type == ARPHRD_LOOPBACK) {
       /* set link layer */
      if (likely(skb_mac_header_was_set(skb))) {
          skb->data = skb_mac_header(skb);
          skb->len += sizeof(struct ethhdr);
      } else {
           skb_push(skb, sizeof(struct ethhdr));
           skb_reset_mac_header(skb);
     } 
  }

  /* 转发syn-ack包 */

  dev_queue_xmit(skb);

  /* 告诉内核该skb不再经过后续的内核协议栈处理,但保留为该skb分配的资源 */
  *verdict = NF_STOLEN;
  return 0;

syn_rcv_out:
    /* Drop the packet when all things are right also,
     * then we needn't to kfree_skb() */
     *verdict = NF_DROP;
     return 0;
}

转载于:https://blog.51cto.com/10843840/2359415

weixin_33835103
关注
【0240】源码分析PG内核中的关键字列表(SQL keywords)
专注【PostgreSQL源码学习&研究】
11-28 398
相关文章: 【0236】聊一聊PG内核中的命令标签(Command Tags、CommandTag、tag_behavior) 【0239】从编译原理角度理解 #include “xxx“ 或 #include<xxx> 的实现机制 1. PostgreSQL的SQL关键字列表(SQL Keywords) 1.1 keywords.c源文件内容 keywords.c源文件中的内容如下:      #include “c.h”      #include “common/keywords.h”      
Nmap源码分析(整体架构)
墨痕诉清风的博客
06-24 2757
docs :相关文档libdnet-stripped :开源网络接口库liblinear:开源大型线性分类库liblua:开源Lua脚本语言库libnetutil:基本的网络函数libpcap:开源抓包库libpcre:开源正则表达式库macosx:xcode项目文件mswin32:vs项目文件nbase:Nmap封装的基础使用函数库ncat:netcat网络工具,由Nmap实现ndiff:比较Nmap扫描结果的实用命令。
syn-proxy源码分析(2)
weixin_34242819的博客
03-07 263
syn-proxy logic2 主要的调用关系如下: ip_vs_in() -→ conn_schedule() ==> tcp_conn_schedule() -→ ip_vs_synproxy_ack_rcv() 依赖NF_INET_PRE_ROUTING链上的ip...
SYN-PROXY
奋斗中拥有
03-05 3982
作者 droplet   有proxy state,可以保存client完整的tcp option,缺点就是有状态的,消耗gateway的资源。对server的tcp option也没有办法,需要其他手段来获取。
浅谈SYNPROXY
weixin_34174322的博客
03-12 343
本文主要介绍了SYNPROXY的相关原理、DDoS简述、LVS相关应用等内容。上篇文章回顾:容器进程Core Dump处理SYNPROXY简述SYNPROXY是防御DDoS攻击的有力手段。SYNPROXY是一个TCP握手代理,原生支持是从Linux内核3.13开始的。当一个TCP请求从客户端发出时,首先与该握手代理进行三次握手,其采用SYNCookie技术,只有该请求通过cookie合法性校验,代...
linux syn代理模块,SYNPROXY:最廉价的抗DoS攻击方案
weixin_28745067的博客
05-13 381
对于防御Dos攻击来说,我这辈子都不一定能见到完美的解决方案。虽然,有成吨的商用防火墙,可以有效的防御Dos攻击,但是他们都太贵了。作为一个学术型人才,我倾向于使用简单廉价的组合来解决问题---x86+GNU/Linux。在linux 3.13内核中加入了SYNPROXY这个功能,它的实现基于netfilter framework 和 connection tracking 模块。我猜测,他会把来...
linux wifi 源代码,Linux无线认证----wifidog源码分析
weixin_42467533的博客
05-12 936
wifidogwifidog开源模块,通过iptable对报文进行重定向到端口2060接口,对报文进行拦截,利用iptable实现用户上网行为管理功能,目前市面上的无线多采用此模块进行portale认真。 本文章对wifidog的源码进行了分析,希望有所帮助。1 main1.1config_init();初始化全局变量,设置默认值1.2parse_commandline(argc,argv);...
lvs syn-proxysyn-cookie实现
weixin_33995481的博客
03-07 805
一、为什么要使用syn-proxy linux内核原生的ip_vs模块主要功能是实现负载均衡,但不能对类似DDOS这种flood类型的***包进行防护,而这种***包会被ip_vs模块转发至后端rs上,一般情况下rs缺少对于这种四层***的防御,或者说防护效率并不高。同时,在ip_vs模块向后端转发时,也会消耗lvs机器的CPU等硬件资源,对于lvs的转发性能也会造成一定影响。 为了解决上述问题...
内核SYNPROXY实现
redwingz的博客
03-03 1187
SYNPROXY配置如下,首先标记需要处理的报文,这里需要两个配置,一是关闭nf_conntrack_tcp_loose,这样无端的TCP报文(非SYN报文)将会被conntrack标记为INVALID状态。二是设置notrack标志,对TCP的SYN报文不继续连接跟踪,其状态为UNTRACKED。 echo 0 > /proc/sys/net/netfilter/nf_conntr...
IPVS FULLNAT and SYNPROXY
IOT之无线网络传输技术
07-31 3102
IPVS FULLNAT and SYNPROXY Contents [hide] 1 Introduction2 Document3 Download4 Building Introduction FullNAT: A new packet forwarding method for IPVS, other than DR/NAT
Proxy源代码分析
xianfengmc的专栏
09-11 679
 Linux是一个可靠性非常高的操作系统,但是所有用过Linux的朋友都会感觉到, Linux和Windows这样的"傻瓜"操作系统(这里丝毫没有贬低Windows的意思,相反这应该是Windows的优点)相比,后者无疑在易操作 性上更胜一筹。但是为什么又有那么多的爱好者钟情于Linux呢,当然自由是最吸引人的一点,另外Linux强大的功能也是一个非常重要的原因,尤其是 Linux强大的网络功能更
SYNPROXY抵御DDoS攻击的原理和优化
热门推荐
Netfilter
09-10 2万+
序又到了周末,我又要必须写点什么了…  周末依然加班,感谢周末上班平日休息的老婆分担了几乎所有家务,一切依然…然而这些对我来讲都不是个事儿,事实上我是希望取消一切节假日和周末的,所谓的周末和节假日是我一直以来觉得出自《圣经》里面最荒唐的东西…休息时间为什么要集中化,既然有个集中化的休息时间,那么必有人会充分利用这段时间,说实话,根本就没有人把周末和假期用来休息,相反,很多时候在这些所谓的休息时间是比
IPv4相关PRE_ROUTING hook
chris的博客
08-18 429
ipv4_rcv static int ipv4_rcv(struct rte_mbuf *mbuf, struct netif_port *port) { ... //执行INET_HOOK_PRE_ROUTING hook点处处理函数,内部会根据不同转发模式进行相应的判定 //ACCPT|STOP时执行ipv4_rcv_fin,继续往上处理 //STOLEN时整个数据包处理流程结束,不再往上传递 //DROP时,直接丢弃数据后返回 return INET_HOO..
SYN-RECEIVED
最新发布
05-21
SYN-RECEIVED是TCP协议中的一种状态,表示服务器已经收到客户端发送的SYN(同步)包,并向客户端发送SYN-ACK(同步-确认)包进行响应,等待客户端向服务器发送ACK(确认)包,以确认连接的建立。 在TCP协议中,一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值