TCP SYNCookie机制
本篇文章在于浅尝辄止的分析TCP的SYNCookie机制
一个连接的建立需要进行TCP三次握手,如下图所示
简单来说,服务端收到客户端的SYN包之后,将连接放到半连接队列中, 当服务端再次收到客户端的ACK包之后,会将连接从半连接队列移到全连接队列中, 这样服务端的程序调用accept()方法的时候,就可以从全连接队列中获取到连接了.
这里要提到SYN Flood, 如果一个客户端在短时间内发送大量的SYN包给服务端,而且不发送ACK包给服务端, 这样会导致服务端的半连接队列很快就被填满了, 间接导致其他客户端无法与服务端完成三次握手.
接下来,通过实验模拟这样的场景,以及如何解决它.
【实验】
一台ubuntu-20.04机器作为服务端(IP=192.168.0.103), 一台Kali机器作为客户端(IP=192.168.0.102)
首先,需要修改一个服务端的配置文件(/etc/sysctl.conf),修改的文件内容如下
如果sysctl.conf文件中没有对应的属性值则自己手动添加
属性值的含义如下
net.ipv4.tcp_syncookies = 0 表示不开启SYNCookie机制
net.ipv4.tcp_max_syn_backlog = 5 设置半连接队列大小
net.core.somaxconn = 5 设置全连接队列大小
这里只是将半连接队列和全连接队列设置的小了一些, 除此之外没有其他特殊原因
接下来,在服务端,使用Python语言搭建一个简单的Server程序,代码如下
import socket
server=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
server.bind(('192.168.0.103',8082))
server.listen(5)
程序监听在8082端口
然后在客户端机器上,通过netwox命令,向服务端持续发送SYN包,模拟SYN Flood
以上命令会向192.168.0.103机器的8082端口发送SYN包
通过 apt install netwox 安装netwox命令
接下来, 我们看一下服务端的一些现象
在服务端执行 netstat -s | grep LISTEN 命令,可以查看半连接队列的情况
可以发现,被丢弃的SYN包的数量一直在增长. 因为客户端一直在向服务端发送SYN包, 当半连接队列满了之后,后面的SYN包只能被丢弃
在服务端执行 sudo tcpdump -nn -i enp0s8 port 8082 命令,如下图
192.168.0.103属于enp0s8网卡
可以发现, 客户端一直发送SYN包给服务端
而且通过查看系统日志,比如使用 dmesg 命令或者查看 /var/log/kern.log 文件,能够发现如下一行信息
TCP: request_sock_TCP: Possible SYN flooding on port 8082. Dropping request.
大概意思是,在8082端口可能发生了SYN Flood攻击, 请求被丢弃了.
假如我们有另外一个客户端,向服务端正常的发送三次握手,比如执行 telnet 192.168.0.103 8082 命令
它会一直处于连接中,直到超时失败.
【总结】 由于半连接队列满了,导致客户端无法与服务端建立连接
针对上面的情况,TCP给出了一个解决思路,修改服务端的配置文件(/etc/sysctl.conf),将 net.ipv4.tcp_syncookies = 1 ,表示开启SYNCookie机制, 其他的无需修改, 继续上面的实验
通过 netstat -s | grep LISTEN 命令,可以发现SYN包没有再被丢弃 (被丢弃的数量没有发生变化)
再次通过dmesg命令查看系统日志,发现如下一行信息
TCP: request_sock_TCP: Possible SYN flooding on port 8082. Sending cookies.
大概意思是,在8082端口可能发生了SYN Flood攻击, 发送了cookies.
是因为在服务端开启了SYNCookie机制, 即便半连接队列满了, 通过Cookie机制,依然可以保证让客户端连接到服务端.
这个时候通过另外一个客户端执行 telnet 192.168.0.103 8082 命令,是可以正常连接到服务端的,如下图
【总结】开启TCP的SYN Cookie机制,即便半连接队列满了,客户端也可以成功与服务端建立连接
TCP SYNCookie机制相关推荐
- (七)深入浅出TCPIP之深入浅出TCPIP之TCP重传机制
目录 TCP重传机制 超时重传机制 快速重传机制 专栏其他文章: 理论篇: (一)深入浅出TCPIP之理解TCP报文格式和交互流程 (二)深入浅出TCPIP之再识TCP,理解TCP三次握手(上) (三 ...
- Netty是如何实现TCP心跳机制与断线重连的
本文来说下Netty 是如何实现 TCP 心跳机制与断线重连的 文章目录 什么是心跳机制HeartBeat 如何实现心跳机制 Netty实现自定义的心跳机制 服务端 客户端 测试效果 客户端断线重连 ...
- activeMQ的源码分析 -TCP通讯机制
2019独角兽企业重金招聘Python工程师标准>>> activeMQ的源码分析 -TCP通讯机制 博客分类: MQ <IGNORE_JS_OP style="WO ...
- Sack Panic漏洞TCP MSS机制(二)(together with myself)
没有一,哪有二? 其实已经有一了,不过不是我写的: Linux 内核 TCP MSS 机制详细分析 https://paper.seebug.org/966/ 作者原文几经update,终于上了点道, ...
- 利用TCP重传机制来玩端口敲门服务
TCP无法在连接建立之前进行认证,对于无连接的UDP而言,或者也将不能. TCP有fastopen机制,但并不好用,本文的想法就是基于fastopen的,让第一个SYN包携带数据,然而又不能让它到达T ...
- TCP握手机制、TCP长连接和短连接、TCP 保活机制 、心跳机制
参考: https://www.cnblogs.com/Andya/p/7272462.html 1. TCP连接(3次握手建立连接.4次挥手关闭连接) 当网络通信时采用TCP协议时,在真正的读写操作 ...
- 通俗易懂讲解TCP流量控制机制,了解一下
上篇文章讲了TCP拥塞控制机制的原理,没看过的不妨看下:5分钟读懂拥塞控制,这篇文章讲讲TCP流量控制机制. 一.为什么需要流量控制? 双方在通信的时候,发送方的速率与接收方的速率是不一定相等,如果发 ...
- TCP流量控制机制、拥塞控制
TCP流量控制机制.拥塞控制 流量控制机制 一.为什么需要流量控制? 双方在通信的时候,发送方的速率与接收方的速率是不一定相等,如果发送方的发送速率太快,会导致接收方处理不过来,这时候接收方只能把处理 ...
- TCP保活机制(KeepAlive)
TCP保活机制 如果两端的 TCP 连接一直没有数据交互,达到了触发 TCP 保活机制的条件,那么内核里的 TCP 协议栈就会发送探测报文. 如果对端程序是正常工作的.当 TCP 保活的探测报文发送给 ...
- 如果客户端不发送数据,什么时候才会断开处于 ESTABLISHED 状态的连接?(TCP保活机制和心跳包)
TCP 的 保活机制(KeepAlive机制).这个机制的原理是这样的: 定义一个时间段,在这个时间段内,如果没有任何连接相关的活动,TCP 保活机制会开始作用,每隔一个时间间隔,发送一个「探测报文」 ...
最新文章
- 关于登录linux时,/etc/profile、~/.bash_profile等几个文件的执行过程
- C语言经典例24-分数累加和
- 怎么样使用git克隆网站上的代码到本地文件夹(快捷)
- 论文阅读——《Exposure Control using Bayesian Optimization based on Entropy Weighted Image Gradient》
- 如何成为SAP行业专家
- 实现 VUE 中 MVVM - step10 - Computed
- Oracle:集群因子
- 学习笔记(30):Python网络编程并发编程-Event事件
- 高斯曲率求表面极值点
- java l1 l2缓存,Java 两级缓存框架
- Android 系统(227)---Android屏幕截图
- asp.net core mvc视频A:笔记2-4.ActionResult(动作结果,即返回值)
- zabbix利用traceroute命令监控主备链路状态
- 哈工大讯飞联合实验室发布法律领域ELECTRA预训练模型
- xelatex编译时提示缺少字体
- Linux系统安装Nvidia显卡驱动
- c 语言ifelse语句例子,C if else 语句
- Python常用中文字体对应名称
- 鸿鹄818芯片:小米电视千万销量面前的“水滴”
- windows下使用精灵标注图片