java roundup函数_随手记之Linux 2.6.32内核SYN flooding警告信息

最新推荐文章于 2021-05-06 17:54:07 发布
最新推荐文章于 2021-05-06 17:54:07 发布
阅读量226 收藏
点赞数
文章标签: java roundup函数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39654619/article/details/115072833
版权

前言

新申请的服务器内核为2.6.32,原先的TCP Server直接在新内核的Linxu服务器上运行,运行dmesg命令,可以看到大量的SYN flooding警告: possible SYN flooding on port 8080. Sending cookies.

原先的2.6.18内核的参数在2.6.32内核版本情况下,简单调整"net.ipv4.tcp_max_syn_backlog"已经没有作用。

怎么办,只能再次阅读2.6.32源码,以下即是。

最后小结处有直接结论,心急的你可以直接阅读总结好了。

linux内核2.6.32有关backlog值分析

net/Socket.c:SYSCALL_DEFINE2(listen, int, fd, int, backlog)

{

struct socket *sock;

int err, fput_needed;

int somaxconn;

sock = sockfd_lookup_light(fd, &err, &fput_needed);

if (sock) {

somaxconn = sock_net(sock->sk)->core.sysctl_somaxconn;

if ((unsigned)backlog > somaxconn)

backlog = somaxconn;

err = security_socket_listen(sock, backlog);

if (!err)

err = sock->ops->listen(sock, backlog);

fput_light(sock->file, fput_needed);

}

return err;

}

net/ipv4/Af_inet.c:/*

* Move a socket into listening state.

*/

int inet_listen(struct socket *sock, int backlog)

{

struct sock *sk = sock->sk;

unsigned char old_state;

int err;

lock_sock(sk);

err = -EINVAL;

if (sock->state != SS_UNCONNECTED || sock->type != SOCK_STREAM)

goto out;

old_state = sk->sk_state;

if (!((1 << old_state) & (TCPF_CLOSE | TCPF_LISTEN)))

goto out;

/* Really, if the socket is already in listen state

* we can only allow the backlog to be adjusted.

*/

if (old_state != TCP_LISTEN) {

err = inet_csk_listen_start(sk, backlog);

if (err)

goto out;

}

sk->sk_max_ack_backlog = backlog;

err = 0;

out:

release_sock(sk);

return err;

}

inet_listen调用inet_csk_listen_start函数,所传入的backlog参数改头换面,变成了不可修改的常量nr_table_entries了。

net/ipv4/Inet_connection_sock.c:int inet_csk_listen_start(struct sock *sk, const int nr_table_entries)

{

struct inet_sock *inet = inet_sk(sk);

struct inet_connection_sock *icsk = inet_csk(sk);

int rc = reqsk_queue_alloc(&icsk->icsk_accept_queue, nr_table_entries);

if (rc != 0)

return rc;

sk->sk_max_ack_backlog = 0;

sk->sk_ack_backlog = 0;

inet_csk_delack_init(sk);

/* There is race window here: we announce ourselves listening,

* but this transition is still not validated by get_port().

* It is OK, because this socket enters to hash table only

* after validation is complete.

*/

sk->sk_state = TCP_LISTEN;

if (!sk->sk_prot->get_port(sk, inet->num)) {

inet->sport = htons(inet->num);

sk_dst_reset(sk);

sk->sk_prot->hash(sk);

return 0;

}

sk->sk_state = TCP_CLOSE;

__reqsk_queue_destroy(&icsk->icsk_accept_queue);

return -EADDRINUSE;

}

下面处理的是TCP SYN_RECV状态的连接,处于握手阶段,也可以说是半连接时,等待着连接方第三次握手。/*

* Maximum number of SYN_RECV sockets in queue per LISTEN socket.

* One SYN_RECV socket costs about 80bytes on a 32bit machine.

* It would be better to replace it with a global counter for all sockets

* but then some measure against one socket starving all other sockets

* would be needed.

*

* It was 128 by default. Experiments with real servers show, that

* it is absolutely not enough even at 100conn/sec. 256 cures most

* of problems. This value is adjusted to 128 for very small machines

* (<=32Mb of memory) and to 1024 on normal or better ones (>=256Mb).

* Note : Dont forget somaxconn that may limit backlog too.

*/

int reqsk_queue_alloc(struct request_sock_queue *queue,

unsigned int nr_table_entries)

{

size_t lopt_size = sizeof(struct listen_sock);

struct listen_sock *lopt;

nr_table_entries = min_t(u32, nr_table_entries, sysctl_max_syn_backlog);

nr_table_entries = max_t(u32, nr_table_entries, 8);

nr_table_entries = roundup_pow_of_two(nr_table_entries + 1);

lopt_size += nr_table_entries * sizeof(struct request_sock *);

if (lopt_size > PAGE_SIZE)

lopt = __vmalloc(lopt_size,

GFP_KERNEL | __GFP_HIGHMEM | __GFP_ZERO,

PAGE_KERNEL);

else

lopt = kzalloc(lopt_size, GFP_KERNEL);

if (lopt == NULL)

return -ENOMEM;

for (lopt->max_qlen_log = 3;

(1 << lopt->max_qlen_log) < nr_table_entries;

lopt->max_qlen_log++);

get_random_bytes(&lopt->hash_rnd, sizeof(lopt->hash_rnd));

rwlock_init(&queue->syn_wait_lock);

queue->rskq_accept_head = NULL;

lopt->nr_table_entries = nr_table_entries;

write_lock_bh(&queue->syn_wait_lock);

queue->listen_opt = lopt;

write_unlock_bh(&queue->syn_wait_lock);

return 0;

}

关键要看nr_table_entries变量,在reqsk_queue_alloc函数中nr_table_entries变成了无符号变量,可修改的,变化受限。

比如实际内核参数值为:

net.ipv4.tcp_max_syn_backlog = 65535

所传入的backlog(不大于net.core.somaxconn = 65535)为8102,那么// 取listen函数的backlog和sysctl_max_syn_backlog最小值,结果为8102

nr_table_entries = min_t(u32, nr_table_entries, sysctl_max_syn_backlog);

// 取nr_table_entries和8进行比较的最大值,结果为8102

nr_table_entries = max_t(u32, nr_table_entries, 8);

// 可看做 nr_table_entries*2,结果为8102*2=16204

nr_table_entries = roundup_pow_of_two(nr_table_entries + 1);

计算结果,max_qlen_log = 14

2.6.18内核中max_qlen_log的计算方法for (lopt->max_qlen_log = 6;

(1 << lopt->max_qlen_log) < sysctl_max_syn_backlog;

lopt->max_qlen_log++);

很显然,sysctl_max_syn_backlog参与了运算,sysctl_max_syn_backlog值很大的话会导致max_qlen_log值相对比也很大

若sysctl_max_syn_backlog=65535,那么max_qlen_log=16

2.6.18内核中半连接长度为2^16=65536

作为listen_sock结构定义了需要处理的处理半连接的队列元素个数为nr_table_entries,此例中为16204长度。/** struct listen_sock - listen state

*

* @max_qlen_log - log_2 of maximal queued SYNs/REQUESTs

*/

struct listen_sock {

u8 max_qlen_log;

/* 3 bytes hole, try to use */

int qlen;

int qlen_young;

int clock_hand;

u32 hash_rnd;

u32 nr_table_entries;

struct request_sock *syn_table[0];

};

经描述而知,2^max_qlen_log = 半连接队列长度qlen值。

再回头看看报告SYN flooding的函数:

net/ipv4/Tcp_ipv4.c#ifdef CONFIG_SYN_COOKIES

static void syn_flood_warning(struct sk_buff *skb)

{

static unsigned long warntime;

if (time_after(jiffies, (warntime + HZ * 60))) {

warntime = jiffies;

printk(KERN_INFO

"possible SYN flooding on port %d. Sending cookies.\n",

ntohs(tcp_hdr(skb)->dest));

}

}

#endif

被调用的处,已精简若干代码:int tcp_v4_conn_request(struct sock *sk, struct sk_buff *skb)

{

......

#ifdef CONFIG_SYN_COOKIES

int want_cookie = 0;

#else

#define want_cookie 0 /* Argh, why doesn't gcc optimize this :( */

#endif

......

/* TW buckets are converted to open requests without

* limitations, they conserve resources and peer is

* evidently real one.

*/

// 判断半连接队列是否已满 && !0

if (inet_csk_reqsk_queue_is_full(sk) && !isn) {

#ifdef CONFIG_SYN_COOKIES

if (sysctl_tcp_syncookies) {

want_cookie = 1;

} else

#endif

goto drop;

}

/* Accept backlog is full. If we have already queued enough

* of warm entries in syn queue, drop request. It is better than

* clogging syn queue with openreqs with exponentially increasing

* timeout.

*/

if (sk_acceptq_is_full(sk) && inet_csk_reqsk_queue_young(sk) > 1)

goto drop;

req = inet_reqsk_alloc(&tcp_request_sock_ops);

if (!req)

goto drop;

......

if (!want_cookie)

TCP_ECN_create_request(req, tcp_hdr(skb));

if (want_cookie) {

#ifdef CONFIG_SYN_COOKIES

syn_flood_warning(skb);

req->cookie_ts = tmp_opt.tstamp_ok;

#endif

isn = cookie_v4_init_sequence(sk, skb, &req->mss);

} else if (!isn) {

......

}

......

}

判断半连接队列已满的函数很关键,可以看看运算法则:

include/net/Inet_connection_sock.h:static inline int inet_csk_reqsk_queue_is_full(const struct sock *sk)

{

return reqsk_queue_is_full(&inet_csk(sk)->icsk_accept_queue);

}

include/net/Rquest_sock.h:static inline int reqsk_queue_is_full(const struct request_sock_queue *queue)

{

// 向右移位max_qlen_log个单位

return queue->listen_opt->qlen >> queue->listen_opt->max_qlen_log;

}

返回1,自然表示半连接队列已满。

以上仅仅是分析了半连接队列已满的判断条件,总之应用程序所传入的backlog很关键,如值太小,很容易得到1.

若 somaxconn = 128,sysctl_max_syn_backlog = 4096,backlog = 511 则最终 nr_table_entries = 256,max_qlen_log = 8。那么超过256个半连接的队列,257 >> 8 = 1,队列已满。

如何设置backlog,还得需要结合具体应用程序,需要为其调用listen方法赋值。

Netty backlog处理

Tcp Server使用Netty 3.7 版本,版本较低,在处理backlog,若我们不手动指定backlog值,JDK 1.6默认为50。

有证如下: java.net.ServerSocket:public void bind(SocketAddress endpoint, int backlog) throws IOException {

if (isClosed())

throw new SocketException("Socket is closed");

if (!oldImpl && isBound())

throw new SocketException("Already bound");

if (endpoint == null)

endpoint = new InetSocketAddress(0);

if (!(endpoint instanceof InetSocketAddress))

throw new IllegalArgumentException("Unsupported address type");

InetSocketAddress epoint = (InetSocketAddress) endpoint;

if (epoint.isUnresolved())

throw new SocketException("Unresolved address");

if (backlog < 1)

backlog = 50;

try {

SecurityManager security = System.getSecurityManager();

if (security != null)

security.checkListen(epoint.getPort());

getImpl().bind(epoint.getAddress(), epoint.getPort());

getImpl().listen(backlog);

bound = true;

} catch(SecurityException e) {

bound = false;

throw e;

} catch(IOException e) {

bound = false;

throw e;

}

}

netty中,处理backlog的地方:

org/jboss/netty/channel/socket/DefaultServerSocketChannelConfig.java:@Override

public boolean setOption(String key, Object value) {

if (super.setOption(key, value)) {

return true;

}

if ("receiveBufferSize".equals(key)) {

setReceiveBufferSize(ConversionUtil.toInt(value));

} else if ("reuseAddress".equals(key)) {

setReuseAddress(ConversionUtil.toBoolean(value));

} else if ("backlog".equals(key)) {

setBacklog(ConversionUtil.toInt(value));

} else {

return false;

}

return true;

}

既然需要我们手动指定backlog值,那么可以这样做:bootstrap.setOption("backlog", 8102); // 设置大一些没有关系,系统内核会自动与net.core.somaxconn相比较,取最低值

小结

在linux内核2.6.32,若在没有遭受到SYN flooding攻击的情况下,可以适当调整:

sysctl -w net.core.somaxconn=32768

sysctl -w net.ipv4.tcp_max_syn_backlog=65535

sysctl -p

另千万别忘记修改TCP Server的listen接口所传入的backlog值,若不设置或者过小,都会有可能造成SYN flooding的警告信息。开始不妨设置成1024,然后观察一段时间根据实际情况需要再慢慢往上调。

无论你如何设置,最终backlog值范围为:

backlog <= net.core.somaxconn

半连接队列长度约为:

半连接队列长度 ≈ 2 * min(backlog, net.ipv4.tcpmax_syn_backlog)

另,若出现SYN flooding时,此时TCP SYN_RECV数量表示半连接队列已经满,可以查看一下:ss -ant | awk 'NR>1 {++s[$1]} END {for(k in s) print k,s[k]}'

感谢运维书坤小伙提供的比较好用查看命令。

weixin_39654619
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
syn flood.zip
08-13
在Windows下编程实现SYN Flood攻击程序,并实现源地址伪装。
java roundup函数_Excel函数(2)if、rand、round函数
weixin_32659227的博客
03-06 1242
阅读提示:阅读对象:完全不了解这些函数,和对这几个函数有初步了解想要进一步深入的建议阅读时间:10分钟知识点:if、if嵌套、AND OR、iferror、rand、randbetween、abs、round、roundup、rounddown函数1、If函数01、基本公式If(逻辑判断为真,值1,值2)Logical test是用来判断的表达式或值,为真时返回value if true,为假时返...
DDOS 攻击学习笔记
wusuopuBUPT的专栏
07-03 1987
DDoS(Distributed Denial of Service,分布式拒绝服务)攻击的主要目的是让指定目标无法提供正常服务,甚至从互联网上消失,是目前最强大、最难防御的攻击之一。 按照发起的方式,DDoS可以简单分为三类。 第一类以力取胜,海量数据包从互联网的各个角落蜂拥而来,堵塞IDC入口,让各种强大的硬件防御系统、快速高效的应急流程无用武之地。这种类型的攻击典型代表是ICMP
JAVA Math.round()
abc1498880402的博客
06-12 207
public class KY6_4 { public static void main(String args[]) { System.out.println (Math.round (3.8)); System.out.println (Math.round (3.2)); } }43
Java Math的 floor,ceil和round函数的简单介绍
minigeek的博客
12-16 1978
JAVA代码的时候,经常能够用到floor、ceil和round函数,现在看下都是怎么用的public static double floor(double a)public static double ceil(double a)public static long round(double a)public static int round(float a) floor : 向下取整,返回不大
Java-Robot-Roundup:通过Java Swing GUI显示的机器人互动益智游戏
05-18
Java-Robot-Roundup 是一款基于Java编程语言开发的机器人互动益智游戏,它利用了Java Swing库来构建其图形用户界面(GUI)。这款游戏的设计采用了经典的观察者/观察者(Observer)设计模式,使得游戏中的各个组件...
计算机二级Excel函数公式专题.docx
最新发布
07-19
Excel函数公式是计算机二级考试的重要考点,本文档系统地总结了五大常用计算函数、IF条件判断函数、Rank排名函数、countif和countifs单/多条件求个数函数、sumif和sumifs单/多条件求和函数、Sumproduct乘积求和函数...
Excel表格函数应用大全.doc
11-24
Excel表格函数应用大全是一本涵盖了多种 Excel 函数的应用大全,涵盖了 SUMPRODUCT、ABS、IF、Ceiling、GCD、INT、LCM、LN、LOG、MOD、PI、POWER、PRODUCT、RADIANS、RAND、ROUND、ROUNDDOWN、ROUNDUP 等多种函数的...
未来教育函数详解20200717(1).pdf
12-05
在二级MS Office高级应用考试中,掌握Excel函数是至关重要的。本文详细介绍了6大类共51个函数,帮助考生更好地理解和运用。以下是其中部分关键函数的详细解析: 1. **Sum函数**:这是最基本的求和函数,可以将一组...
Excel表格函数应用大全样本.doc
12-15
Excel表格函数是数据...19. ROUNDUP函数:向上舍入到最接近的整数。用于计算上网费用,当不足一个单位时向上取整。 以上就是Excel中一些常用的函数及其应用,熟练掌握这些函数可以帮助我们更高效地处理和分析数据。
java实现验证码功能源码-TCP_Flooding_IP_SPoofing:从随机IP源地址和IP源端口进行IP欺骗的SYN攻击
06-05
java实现验证码功能源码
tcp flood java源码,TCP SYN Flood如何实现(含原理和工具)
weixin_39553776的博客
03-27 502
摘要拒绝服务攻击(DDoS)从1970年出现直到今天都依然在作祟,并给全球范围内的各大组织带来了不可估量的损失。在这篇文章中,我们将跟大家介绍一种特定的DoS攻击,即TCP SYN Flood攻击,并介绍一款名叫Synner的工具。该工具采用Rust开发,由libpnet驱动,该工具目前仍处于开发状态(WIP),不过现在的功能已经足以发布出来跟社区人员共享了。介绍Synner能够向目标快速持续地发...
Java源码 HashMap.roundUpToPowerOf2原理
Shuuki
12-18 1775
int rounded = number >= MAXIMUM_CAPACITY ? MAXIMUM_CAPACITY : (rounded = Integer.highestOneBit(number)) != 0 ? (Integer.bitCount(number) > 1) ? rounded << 1 : rounded
java syn攻击程序_应对synflood 攻击的方法
weixin_42099755的博客
02-27 421
判断synflood 攻击的方法#netstat –an |grep SYN_RECV |wc –l上面的结果如如大于400 有可能为synflood攻击。1、首先开启syncookie 此为6 次握手才建立起来的TCP 连接。此种方法在10M以下的流量还可以。在redhat5.5以后是默认开启的#echo 1 > /proc/sys/net/ipv4/tcp_syncookies2、把sy...
java syn攻击程序_SYN blood攻击
weixin_26766559的博客
02-27 434
SYN Flood (SYN洪水) 是种典型的DoS (Denial of Service,拒绝服务) 攻击。效果就是服务器TCP连接资源耗尽,停止响应正常的TCP连接请求。说到原理,还得从TCP如何建立连接(Connection)讲起。通信的双方最少得经过3次成功的信息交换才能进入连接全开状态(Full-Open),行话叫建立TCP连接的3次握手(TCP three-way handshake)...
记一次 request_sock_tcp possible syn flooding on port 事件处理
IT老男孩
01-20 5649
本文永久链接: https://www.xtplayer.cn/linux/network/request-sock-tcp-possible-syn-flooding-on-port/TCP 三次握手客户端发送 SYN(进入 SYNC_SENT 状态)服务端返回 SYN+ACK(进入 SYNC_RECV 状态)客户端发送 ACK(进入 ESTABLISHED 状态)如果客户端在第 3 步时不发送...
java syn包_TCP攻击之SYN攻击
weixin_33877700的博客
02-16 836
1.背景初始化连接的 SYN 超时问题 Client 发送 SYN 包给 Server 后挂了,Server 回给 Client 的 SYN-ACK 一直没收到 Client 的 ACK 确认,这个时候这个连接既没建立起来,也不能算失败。这就需要一个超时时间让 Server 将这个连接断开,否则这个连接就会一直占用 Server 的 SYN 连接队列中的一个位置,大量这样的连接就会将 Server...
linux 查看syn网络日志,随手记之Linux内核SYN flooding警告信息
weixin_39744606的博客
05-06 623
前言最近线上服务器,dmesg会给出一些警告信息: possible SYN flooding on port 8080. Sending cookies.初看以为是受到DOS拒绝性攻击,但仔细一分析,一天量也就是在1000多条左右,感觉上属于正常可接受范围。下面需要找出来源,以及原因,以下内容基于Linux 2.6.18内核警告输出源头net/ipv4/Tcp_ipv4.c:#ifdef CO...
roundup配置
weixin_33830216的博客
04-03 248
原因:我需要一个简单的issue tracker why roundup: python,简单 找了半天的文档,找不到文档,只能自己慢慢试,试到现在,可以打开tracker页面,用户注册的时候可以发邮件到admin的邮箱 # Roundup issue tracker configuration file # Autogenerated at Wed Jul 3 18:34:31...
roundup_pow_of_two
03-22
这是一个编程类的问题,回答如下: roundup_pow_of_two 是一个函数,用于将一个数向上取整到最近的 2 的幂次方。以下是一个示例实现: unsigned int roundup_pow_of_two(unsigned int n) { n--; n |= n >> 1; n |= n >> 2; n |= n >> 4; n |= n >> 8; n |= n >> 16; return ++n; } 这个函数的输入是一个无符号整数 n,输出是一个无符号整数,表示最近的 2 的幂次方。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值