如何避免 SYN 攻击?

Linux网络TCP连接优化策略
原创 已于 2025-08-10 15:18:10 修改 · 565 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #tcp #linux

于 2025-07-01 15:26:58 首次发布

文章目录


什么是 SYN 攻击?

一、增大 TCP 半连接队列

增大 TCP 半连接队列,需要同时增大三个参数:

  • /proc/sys/net/ipv4/tcp_max_syn_backlog
  • /proc/sys/net/core/somazconn
  • listen() 函数的 backlog 参数

引申问题

为什么要同时增大这三个参数?详见TCP 半连接队列和全连接队列详解(结合 Linux 2.6.32 内核源码分析)

二、减少 SYN+ACK 重传次数

服务端受到 SYN 攻击时,会有大量处于 SYN_RCVD 状态的 TCP 连接,处于该状态的 TCP 会重传 SYN+ACK 报文,重传 tcp_synack_retries 次后,就会断开连接,我们可以通过减少 SYN+ACK 报文的重传次数,加快断开处于 SYN_RCVD 状态的 TCP 连接

三、开启 tcp_syncookies

我们先来看下 Linux 内核的「SYN 队列」和 「Accept 队列」是如何工作的?
在这里插入图片描述
开启 tcp_syncookies,可以在不使用「SYN 队列」的情况下建立 TCP 连接
在这里插入图片描述

  1. 「SYN 队列」满了的情况下,服务端不会丢弃后续收到的 SYN 报文,而是根据算法计算出 cookie 值,将其填入 TCP 首部的「序列号」字段后发送 SYN+ACK 报文给客户端,这也就意味着并不会有一个专门用于保存这些 cookies 的队列
  2. 服务端收到客户端的 ACK 报文后,会检查其合法性,如果合法,将该 socket 放进「Accept 队列」
  3. 服务端调用 accept() 从「Accept 队列」一一取出经过完整三次握手建立好连接的 socket

/proc/sys/net/ipv4/tcp_syncookies 主要有三个值:

  • 0:关闭该功能
  • 1:「SYN 队列」放不下时,启用该功能
  • 2:无条件启用该功能

引申问题

tcp_syncookies 能否取代半连接队列?
详见为什么 tcp_syncookies 不能取代半连接队列?

#PCIE# 一篇关于Elastic Buffer的绝好文章
那么菜的博客
11-30 1161
该文章,清晰的讲解了PCIE/SATA中普遍使用的弹性缓冲器的原理和应用,建议细读!!!
PCI总线中文规范详解与实战指南
最新发布
weixin_42583683的博客
09-07 1234
PCI总线是一种并行同步总线协议,支持多个设备共享同一总线资源。其发展历程主要包括以下几个阶段:版本年份主要特性PCI 1.01992初始版本,32位/33MHz,133MB/s带宽PCI 2.01993支持64位扩展,66MHz频率PCI 2.11995引入电源管理与即插即用(PnP)支持PCI-X1998高频扩展,支持133MHz以上频率2002转向串行高速点对点连接,带宽显著提升。
elastic buffer
韩京飞的博客
02-19 2182
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> 在高速、串行、源同步的数据传输协议中,用elastic buffer实现本地时钟和恢复时钟之间的数据同步是比较常见的一种办法。其关键在于利用elastic b
PCIE 参考时钟架构
weixin_45365488的博客
02-05 1万+
首先先看下PCIE架构组件:下图中主要包括了CPU(ROOT COMPLEX),PCIE SWITCH,BUFFER以及一些PCIE ENDPOINT;而且可知各个器件的时钟来源都是由100MHz经过Buffer后提供。接着上图的架构,我们来简单看下PCIE时钟的三种架构:Common Clock Architecture:所有设备的参考时钟分布必须匹配到15英寸以内在系统板上。在接收端数据和时钟之间的传输延迟增量必须要小于等于12ns。通常允许PCIE卡上的时钟线长不大于4inch。
MindShare_PCIe_Elastic_Buffer.pdf
11-30
一篇关于PCIE/SATA 高速协议中使用的弹性缓冲器的文章,精读!!!
#PCIE# pcie 中的 <Elastic Buffer > 原理
那么菜的博客
05-03 4118
PCIe串行总线上的传输信号属于差分信号,也是同步传输方式,但是没有专门的同步时钟!我们在设计电路时,通常会提供一组100MHz差分时钟给后端设备,这并不是上文所说的同步时钟。PCIe的时钟是嵌入到差分信号中的,PCIe总线在训练之初会完成一个bit lock,在这个过程中链路上会传输一段0和1间隔序列,即是连续的高低电平,就是用来给Receiver提取时钟的。Receiver提到到时钟后,才能够继续捕获一位一位的数据,也就是做bit的识别,再往后则是做多个bit的识别,即序列识别。在PCIe Transm
PCIe扫盲——弹性缓存Elastic Buffer/ CTC Buffer
zsmcdut的博客
09-10 1218
转http://blog.chinaaet.com/justlxy/p/5100057990 前面在介绍PCIe物理层逻辑子层的文章中,有提到过弹性缓存Elastic Buffer,又称为CTC Buffer或者Synchronization Buffer)。其本质上是一种FIFO,主要用于解决跨时钟域问题。当然,PCIe弹性缓存还用于补偿时钟误差(Compensate for the clock differ
PCIe中的Elastic Buffer
u011638597的博客
02-26 838
其中MPS是max payload size, TLP_over_header是从TL层到PL层的所有打包数据(如header、SDP、CRC、EDP等)的symbol数量,一般为28;
深入解析PCIe协议分层架构:物理层与数据链路层协同机制全揭秘
![深入解析PCIe协议分层架构:物理层与数据链路层协同机制全揭秘]...# 1. PCIe协议分层架构概述 PCIe(Peripheral Component Interconnect Express)采用高度模块化的分层架构设计,主要包括事务层、数据链路层和
PCIe探索弹性缓冲器真义(陈乃塘)
11-28
最近开始学习 PCIE,网上、公司、学校等等海收集各种资源,说实话,PCIE 的资源不少,中文资料也不少。该文章,简介明了,更容易让a新手对PCIE由恐惧,变得自信心满满。希望对大家有用。一起努力
基于PCIe2.0协议的PCS层弹性缓冲器设计
11-28
最近开始学习 PCIE,网上、公司、学校等等海收集各种资源,说实话,PCIE 的资源不少,中文资料也不少。该文章,简介明了,更容易让新手对PCIE由恐惧,变得自信心满满。希望对大家有用。一起努力
PCIE BASE 2.0 SPEC 之物理层 中文版
06-06
PCIE 2.0 BASE SPEC 物理层规范中文版
PCIe Base Specification解析(十一)
Crazzy_M的博客
08-13 375
PCIe物理层,Physical Layer Logical Block
PCIe扫盲(12)
Liuqz2009的专栏
09-20 2211
某些特殊的应用场合可能要求PCIe设备能够以高可靠性持续不间断运行,为此,PCIe总线采用热插拔(Hot Plug)和热切换(Hot Swap)技术,来实现不关闭系统电源的情况下更换PCIe卡设备。注:热切换(Hot Swap)和热插拔的主要区别是应用领域不同,热插拔主要应用于PC以及服务器的主板上的板卡连接,而热切换主要针对的是CPCICompactPCI,一种常用于仪器仪表的接口)应用的。具体请参考PCIe Spec和的相关章节。PCIe总线的热插拔主要指的是PCIe
深入分析PCIe事务层协议:确保数据完整性的7大机制
[深入分析PCIe事务层协议:确保数据完整性的7大机制](https://opengraph.githubassets.com/71b67ce27b47743dc58a1b3f79fb16683dbd8f2b46d685ef3fc102ce10e02dc9/Jfecoren/PCIe_transaction_layer) # 1. PCIe事务层...
【跨平台PCIe 3.0编程】:软件抽象层设计与实现技巧
本文首先概述了PCIe 3.0编程的基础知识,并着重分析了软件抽象层的设计原理及其在跨平台开发中的核心作用。文中讨论了硬件与软件的解耦合概念、抽象层的设计方法、性能优化策略、硬件访问方法以及不同编程语言与抽象...
PCIe物理层详细总结-PCIe专题知识(一)
热门推荐
Luckiers的博客
05-01 1万+
本文主要对PCIe物理层的组成、功能进行详细的总结,通过图文的方式方便读者快速掌握。物理层PCIe总线的最底层,将PCIe设备连接在一起。PCIe总线的物理电气特性决定了PCIe链路只能使用端到端的连接方式。PCIe总线的物理层PCIe设备间的数据通信提供传送介质,为数据传送提供可靠的物理环境,发送端数据链路层(Data Link Layer)的DLLP和TLP报文通过物理层(Physical Layer)发送至接收端的物理层,再传送至接收端的数据链路层。
pcie 中的 <Elastic Buffer
06-14
### PCIeElastic Buffer 的概念与实现 Elastic BufferPCIe 协议中用于解决数据传输时钟域不匹配问题的关键组件。在 PCIe 链路中,发送端和接收端通常运行在不同的时钟域下,这可能导致数据进入缓冲区的速度与离开缓冲区的速度不同。为了应对这种差异,Elastic Buffer 被设计为能够在数据流速不一致的情况下维持数据的完整性。 当数据进入的时钟频率(由 CDR 恢复的时钟频率)小于数据出的时钟频率(本地时钟频率)时,数据会以更快的速度从缓冲区中移除,导致缓冲区中的数据量逐渐减少,甚至可能被掏空[^2]。为了避免这种情况发生,系统会在缓冲区中插入特殊的 SKP 符号,以填充缓冲区并确保其不会被完全清空。 相反地,如果数据进入缓冲区的速度快于离开的速度,则可能会导致缓冲区溢出。对于这种场景,Elastic Buffer 的设计不允许缓冲区读空,但允许一定程度的溢出。在这种情况下,其处理方式类似于 half-full 机制,即通过调整缓冲区的深度来适应时钟差异[^3]。 此外,当 PCIe 设备启用了 SRIS(Split Recovery Idle Sequence),SKP 符号的插入频率会增加,同时需要更大的弹性缓存深度以容纳更多的 SKP 符号。然而,较大的弹性缓存会导致延时增加,从而对性能产生一定的负面影响[^1]。 ### Elastic Buffer 的作用 1. **时钟域同步**:通过插入或移除 SKP 符号,Elastic Buffer 能够在不同时钟域之间实现数据的无缝传输。 2. **避免缓冲区掏空或溢出**:通过动态管理缓冲区中的数据量,Elastic Buffer 确保了链路的稳定性。 3. **支持高性能数据传输**:尽管增加了延时,但 Elastic Buffer 的设计能够有效减少因时钟差异导致的数据丢失或错误。 ```python # 示例代码:模拟 Elastic Buffer 插入 SKP 符号的逻辑 def elastic_buffer_simulation(data_stream, clock_in_rate, clock_out_rate): buffer = [] for data in data_stream: buffer.append(data) if len(buffer) < clock_out_rate / clock_in_rate: buffer.append("SKP") # 插入 SKP 符号以填充缓冲区 while len(buffer) > 0 and len(buffer) >= clock_out_rate / clock_in_rate: yield buffer.pop(0) # 输出数据 ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值