TCP三次握手的时候会有两个队列
这两个队列的总大小在调用Listen监听函数的时候指定
半连接队列syn queue:
完成第一次握手后,服务端收到后回复SYN+ACK后,服务端进入SYN_RCVD状态,连接会放入半连接队列。当服务端发送SYN_ACK后将会开启一个定时器,如果超时没有收到客户端的ACK,将会重发SYN_ACK包。重传的次数由/proc/sys/net/ipv4/tcp_synack_retries控制,默认是5次,也可以自己修改。
全连接队列accept queue:完成三次握手后,连接会移除半连接队列,并将其添加到 accept 队列,等待进程调用 accept 函数时把连接取出来。
TCP这种特性会导致一些安全问题,例如:syn-flood攻击
攻击原理为发送大量伪造sync报文,服务器响应确认报文至真实客户端,真实客户端没有发起该连接请求会丢弃确认报文,此时服务端继续重试,由于超时导致服务器端半连接队列一直满,致使服务器资源全部被占用,无法接收正常的连接,常见的SYN Flood攻击:客户端在短时间内发送大量的TCP SYN包至服务器,服务器会为每个TCP SYN包分配一个特定的数据区(半连接队列),只要这些SYN包具有不同的源地址。这将给TCP服务器系统造成很大的系统负担,最终导致系统不能正常工作。
防御手段:SYN cookies 算法
在TCP服务器收到TCP SYN包并返回TCP SYN+ACK包时,不分配一个专门的数据区(半连接队列),而是根据这个SYN包计算出一个cookie值。再次收到TCP ACK包时,TCP服务器在根据cookie值检查这个TCP ACK包的合法性。如果合法,再分配专门的数据区进行处理未来的TCP连接,这样就不会因为半连接队列一直满,致使服务器资源全部被占用而无法接收正常的连接。