TCP半连接队列与连接队列及安全问题,syn-flood攻击及防御手段

于 2024-10-08 21:30:54 发布
阅读量206 收藏 2
点赞数 6
文章标签: tcp/ip 网络 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_63162063/article/details/142769632
版权

TCP三次握手的时候会有两个队列

这两个队列的总大小在调用Listen监听函数的时候指定

半连接队列syn queue:

完成第一次握手后,服务端收到后回复SYN+ACK后,服务端进入SYN_RCVD状态,连接会放入半连接队列。当服务端发送SYN_ACK后将会开启一个定时器,如果超时没有收到客户端的ACK,将会重发SYN_ACK包。重传的次数由/proc/sys/net/ipv4/tcp_synack_retries控制,默认是5次,也可以自己修改。

全连接队列accept queue:完成三次握手后,连接会移除半连接队列,并将其添加到 accept 队列,等待进程调用 accept 函数时把连接取出来。

TCP这种特性会导致一些安全问题,例如:syn-flood攻击

攻击原理为发送大量伪造sync报文,服务器响应确认报文至真实客户端,真实客户端没有发起该连接请求会丢弃确认报文,此时服务端继续重试,由于超时导致服务器端半连接队列一直满,致使服务器资源全部被占用,无法接收正常的连接,常见的SYN Flood攻击:客户端在短时间内发送大量的TCP SYN包至服务器,服务器会为每个TCP SYN包分配一个特定的数据区(半连接队列),只要这些SYN包具有不同的源地址。这将给TCP服务器系统造成很大的系统负担,最终导致系统不能正常工作。

防御手段:SYN cookies 算法

在TCP服务器收到TCP SYN包并返回TCP SYN+ACK包时,不分配一个专门的数据区(半连接队列),而是根据这个SYN包计算出一个cookie值。再次收到TCP ACK包时,TCP服务器在根据cookie值检查这个TCP ACK包的合法性。如果合法,再分配专门的数据区进行处理未来的TCP连接,这样就不会因为半连接队列一直满,致使服务器资源全部被占用而无法接收正常的连接。

无情酷狗
关注
网络安全自学教程》- SYN Flood原理分析与实战演示
wangyuxiang946的博客
04-08 1万+
使用hping3执行SYN Flood,分析SYN Flood原理、防御措施。
彻底讲清楚TCP连接队列和全连接队列
fangyi2011的博客
10-20 2955
TCP连接队列和全连接队列 1 简单的TCP建连流程 先来张图,如下: (1)client端使用connect()向server端发起连接请求(发送syn包),此时client端的TCP的状态为SYN_SENT (2)server端在收到SYN包后,将TCP相关信息放到syn queue(连接队列)中,同时向client发送syn+ack。server端TCP的状态为 SYN_R...
SYN Flood攻击防御
BourneSu的博客
09-25 813
SYN Flood攻击防御
TCP/IP学习笔记4-连接队列SYN-Flood攻击
xianyuLuo的博客
07-18 409
背景 TCP/IP协议是当前网络时代的基础,所有的网络产品,或者是开发语言、开发框架都是基于tcp/ip协议的,所以说,学好tcp/ip对个人以后从事互联网行业会有巨大的帮助。 但是这是一个基础理论课程,就像操作系统这门课一样,学完之后可能不会对你产生太大的影响,不会让你立马拥有能够投入工作中的技能。但正是因为这是一个基础理论课,所有的互联网技术都是基于它的。所以如果你了解tcp/ip协议,将会对你未来发展或者在工作中排查问题产生积极的作用。 连接队列 三次握手前,服务端的状态由Closed转变为List
hping3进行SYN Flood攻击flood攻击原理及防御
长期承接网络通信领域商务合作
09-10 9061
客户端向服务端发送大量SYN请求,服务端响应SYN+ACK然后进入SYN-RCVD状态等待客户端进行三次握手最后一步。发送大量SYN请求就会导致服务器产生大量SYN-RCVD队列,直至将服务器队列资源耗尽达到DOS攻击的目的。hping3是一个命令行下使用的TCP/IP数据包组装/分析工具,通常web服务会用来做压力测试使用,也可以进行DOS攻击的实验。这里的伪造的IP地址,只是在局域网中伪造。-d 120 = 发送到目标机器的每个数据包的大小。-c 1000 = 发送的数据包的数量。
SYN攻击/ACK攻击//全连接队列
weixin_61360713的博客
08-31 643
本文主要讲述:/全连接队列是什么,有什么作用?/全连接队列的数据结构是什么?SYN攻击导致连接队列满了怎么办?如何避免SYN攻击?为什么不使用syncookies取代连接队列与ACK攻击
TCP+的连接队列和全连接队列
qq_50993361的博客
05-24 813
TCP 三次握手的时候,Linux 内核会维护两个队列,分别是: 连接队列,也称 SYN 队列。 全连接队列,也称 accepet 队列
linux tcp连接,tcp连接与完全连接队列
weixin_31699079的博客
05-16 395
##队列及参数 ###server端的连接队列(syn队列) 在三次握手协议中,服务器维护一个连接队列,该队列为每个客户端的SYN包开设一个条目(服务端在接收到SYN包的时候,就已经创建了request_sock结构,存储在连接队列中),该条目表明服务器已收到SYN包,并向客户发出确认,正在等待客户的确认包(会进行第二次握手发送SYN+ACK 的包加以确认)。这些条目所标识的连接服务器处于...
DDoS攻击--Syn_Flood攻击防护详解(TCP)
热门推荐
一只IT小小鸟
08-22 5万+
Syn_Flood概述 Syn-Flood攻击是当前网络上最为常见的DDoS攻击,也是最为经典的拒绝服务攻击,它利用了TCP协议实现上的一个缺陷,通过向网络服务所在端口发送大量的伪造源地址的攻击报文,就可能造成目标服务器中的连接队列被占满,从而阻止其他合法用户进行访问。 这种攻击早在1996年就被发现,但至今仍然显示出强大的生命力。很多操作系统,甚至防火墙、路由器都无法有效地防御这种攻击,...
Linux平台下防御SYN Flood攻击策略的研究.pdf
09-06
该算法旨在平衡安全性和性能,通过优化TCP连接队列管理,限制并发的SYN请求,同时避免对合法用户的连接造成过多影响。具体实现上,文章构建了一个新型的防御模块,结合Linux内建的防火墙工具iptables,以增强对...
TCP ---滑动窗口以及拥塞窗口
BUG制造机的博客
10-04 1200
这篇文章中,我们主要介绍了使用滑动窗口来控制流量,拥塞窗口解决拥塞问题,最后介绍了面向字节流,希望大家有所收获!
TCP --- 确认应答机制以及三次握手四次挥手
BUG制造机的博客
10-03 930
在这一篇文章中,我们介绍了TCP的协议段格式,以及保证其可靠传输的确认应答机制,重传机制,着重介绍了三次握手建立连接,四次挥手断开连接的过程,希望大家有所收获!
网络协议 TCP、UDP 和 HTTP
m0_68570169的博客
09-27 1914
特性TCPUDP连接方式面向连接(三次握手)无连接可靠性可靠(确认、重传、校验、排序)不可靠(不确认、不重传、不排序)传输顺序保证顺序到达不保证顺序流量控制有无拥塞控制有无头部开销较大较小速度较慢(但可靠)较快(但不可靠)典型应用场景DNS、视频会议、在线游戏TCP和UDP各有优劣,选择使用哪种协议取决于具体的应用需求。如果需要数据可靠性和顺序性,TCP是更好的选择;如果对传输速度和实时性要求高,且能容忍部分数据丢失,则UDP更为适合。特性。
Win10之解决:设置静态IP后,为什么自动获取动态IP问题(七十八)
Android系统攻城狮
10-01 970
本篇目的:Win10之解决:设置静态IP后,为什么还会自动获取动态IP问题环境:主机系统:Ubuntu22.04宿主系统:Win10(在virtual Box虚拟机中)问题:Ubuntu22.04可以ping通Win10,但是Win10无法ping通Ubuntu22.04.(这个问题后边解决)在Win10中,设置IPv4为静态ip,但是发现它竟然又自动获取动态ip,确实很神奇,导致无法ping通别的主机。.先看下配置的IP地址、子网掩码和网关.再看IP地址是否配置成功。
frps+nginx实现访问ip的记录
babytiger的专栏
09-30 624
其中55556就是公网 http://服务器ip:55556 ,56668就是内网映射到公网的端口。内网机器通过frpc 映射到 我的域名:4000端口,在内网起了一个flask的服务,但是服务获取的访问ip都是127.0.0.1,是我们访问我的域名:4000会把流量转发给frpc服务,frpc在本地,所以就是127.0.0.1。实验把一台内网机器的http服务暴露到公网上面,然后记录一下访问来的Ip有啥。但我们想看到外网的ip谁访问了这个服务,就要在request中增加一个标记。
②EtherCAT转ModbusTCP, EtherCAT/Ethernet/IP/Profinet/ModbusTCP协议互转工业串口网关
最新发布
梧桐林的博客
10-04 1158
MS-GW15 是 EtherCAT 和 Modbus TCP 协议转换网关,为用户提供一种 PLC 扩展的集成解决方案,可以轻松容易将 Modbus TCP 网络接入 EtherCAT 网络 中,方便扩展,不受限制,用户可以快速组建自己的应用网络。Modbus TCP 接 口既可做服务器也可做客户端,作为客户端时,用户无需编程,在网关网页添加 轮询指令即可,最多可创建 4 个 Socket;EtherCAT 接口作为从站,支持掉线报 警,支持硬件看门狗,保证系统的稳定性。
计算机网络:计算机网络体系结构 —— OSI 模型 与 TCP/IP 模型
Zachyy的博客
10-02 1875
计算机网络体系结构是指将计算机网络分为不同的层次和功能模块,以实现可靠的数据传输和通信的架构模型。 由于计算机网络从底层的传输到高层的软件设计十分复杂,要合理地设计计算机网络模型,必须采用分层模型,每一层负责处理自己的操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值