TCP SYN-Cookie背后的人和事

最新推荐文章于 2024-05-05 21:38:32 发布
最新推荐文章于 2024-05-05 21:38:32 发布
阅读量86 收藏
点赞数
文章标签: Google Unix Security J#
本文介绍了SYN-Cookie的工作原理及其在防范TCPSynFlood攻击中的应用。SYN-Cookie由Daniel J. Bernstein发明,旨在减少服务器资源消耗,特别适用于IPv6环境下。通过使用32位摘要的cookie替代传统半连接维护方式,有效提升了防御效率。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

作者 appleleaf 来自弯曲评论

SYN-Cookie是防范TCP Syn Flood的业界标准做法之一。相关概念笔者就不抄了,从文字描述上来看这个概念开始确实不太好理解,笔者也是费了半天劲才终于想明白的。应该是server端非但不maintain 半连接,连基本的五元组都不愿意在三次握手前maintain,这样可以最大限度的节省内存,尤其是对于IPv6的Session,仅仅使用一个32bit的摘要的cookie,效果更佳。

SYN-Cookie的发明者Daniel J. Bernstein并非工程人士,而是躲在学术界(叫兽),数学专业,密码学专家。有人在Wiki立碑如下:

http://en.wikipedia.org/wiki/Daniel_J._Bernstein

Daniel有很多软件作品

Daniel和他的学生发现了很多Unix漏洞,并且公布了其中的44个漏洞的利用代码。这个家伙很自负,甚至声称 “I won’t be satisfied until I’ve put the entire security industry out of work.”。想要砸整个安全界的饭碗,大家要留意一下。另一个自负的例子是,某男在他的软件中发现了一个安全漏洞,为此获得了1000$的奖励。看来Daniel比Google还大方。对于赋闲在家的或者手头拮据的兄弟,建议教训教训他,hack他一下,让他也知道天下英雄的厉害。我就不信丫的code再没有bug了。

但无论如何,经叶子鉴定后,颁发给Daniel“牛人”证书。

Daniel将其SYN-Cookie的发明经过记录在了下述文章中,论证了自己是第一个发明这项技术的人。

http://cr.yp.to/syncookies.html

最搞笑的是有一批智商比我还要低的老外在没有搞清楚状况的情况下大肆攻击他的解决方案,Daniel最终发飙如下:

These people also have the annoying habit of crediting their bogus claims to other people, such as me. I don’t know whether to attribute this to malice or stupidity; either way, I would like the record to be set straight.

I invited Kuznetsov to either retract or defend his claims. He refused to do so. I’m sure he’s aware by now that his claims are false, and that any attempted defense will be promptly ripped to shreds; but he’s still not admitting his errors. It’s unfortunate that he doesn’t have more respect for the truth.

I also invited Akkerman to either retract or defend his claims. He did not respond.

为此给大家两个启示:

1.在Challenge牛人的时候,自己一定要精心研究,做到有把握。

2.大到日心学说,小到TCP SYN Cookie,凡是科学发明创新往往会遭到菜鸟的群殴,一定要心平气和。

iteye_20954
关注
软件测试面试题集锦
闪闪发亮爱技术
03-02 1097
文章目录一、基础知识1、什么是软件测试,软件测试的目的是啥?2、什么是测试计划?都包括啥?什么是测试方案,什么是测试策略?测试方案包含哪些内容?测试用例设计方法有哪些?测试用例内容有哪些?3、测试用例为什么需要分级,如何分级别?测试用例需要哪些人来评审?评审的目的是什么?好的测试用例关键点是什么?不能发现BUG的测试用例不是好的测试用例吗?4、测试分为哪几个阶段?5、软件测试类型都有哪些?你进行过哪些测试,擅长什么?6、软件缺陷等级划分7、缺陷生命周期8、测试生命周期9、为什么要进行交叉测试?10、α、β测
Java开发面试题——很有帮助的
m0_46891419的博客
06-19 3459
面试题 一、Java 1.运行机制 1)Java跨平台原理 Java实现跨平台是JVM(Java虚拟机)起的作用。如果是C/C++的编译方式,一旦换了一个平台,那么就需要重新编译一份对应的可执行代码,但是Java则不同,编译好了一份Java字节码,换到不同的平台上时,并不需要重新编译,前提是这些平台上都安装了相应平台的JVM,JVM不是跨平台的。 2)垃圾回收器的基本原理是什么?垃圾回收器可以马上回收内存吗?有什么办法主动通知虚拟机进行垃圾回收? 垃圾回收器通常是作为一个单独的低级别的线程运行,在不可预知的
TCP SYN-Cookie的原理和扩展
热门推荐
TCP/IP
05-21 1万+
SYN-Cookie概述预防半连接攻击,SYN-Cookie是一种有效的机制,它的基本原理非常简单,那就是“完成三次握手前不为任何一个连接分配任何资源”,它是怎么做到的呢?也是非常简单。1.编码信息将一些本应该在本地保存的信息编码到返回给客户端的SYN-ACK的初始化序列号或者时间戳里面。握手尚未完成不分配任何资源(Linux即不分配request结构体)。2.解码信息等到客户端的ACK最终到来的
深入浅出TCP中的SYN-Cookies
品学楼A107
05-26 4237
本文渐进地介绍TCP中的syn-cookie技术,包括其由来、原理、实例测试。 SYN Flood 攻击 TCP连接建立时,客户端通过发送SYN报文发起向处于监听状态的服务器发起连接,服务器为该连接分配一定的资源,并发送SYN+ACK报文。对服务器来说,此时该连接的状态称为半连接(Half-Open),而当其之后收到客户端回复的ACK报文后,连接才算建立完成。在这个过程中,如果服务器一直没有...
TCP SYNCookie机制
书唐瑞的博客
08-29 1971
TCP SYN cookie机制
TCP SYN cookie的作用、原理、缺陷
超级码力
08-19 4205
SYN Flood 攻击 SYN cookie使用来抵御SYN 攻击的。SYN 攻击就是发很多的SYN给服务器,服务器收到SYN会为每个SYN创建一个TCB(Transmission Control Block),并将其放到半连接队列中。然而系统的半连接队列大小是有限制的(默认1024),如果半连接队列满了,服务器只能丢弃新来的请求了,从而正常的请求无法完成。 SYN Cookie概念 syn cookie究竟存在哪?它的实体就是服务器返回给客户端的ACK+SYN中的seq number。这个序列号本身也是
WEB安全基础之HTTP协议【第五辑】
/
05-05 1845
在了解HTTP定义前,我们需要先了解HTTP的“父辈”:TCP/IP,HTTP只是TCP/IP的一个子集,现在之所以能够方便的通信、上网、聊天等,在于所有的计算机、手机都可以联网,在这个过程汇总,所有的计算机、手机、网络设备都必须使用相同的方式进行通信,就想人和人之间沟通对话,不同国家的人想要沟通交流也得使用同一种语言才能相互理解意思,这个对于通信世界来讲是一种规则。这种规则也通常被称之为协议(protocol)。
超详细面试准备(10分钟打遍所有初级后端开发面试)
weixin_44540766的博客
02-23 5389
面试知识汇总 如何介绍项目: https://www.sohu.com/a/259724527_775404 自我介绍:https://www.jianshu.com/p/008fc86a1f28 4W字的后端面试知识点总结: https://www.cnblogs.com/aobing/p/12849591.html 后端技术框架: https://www.cnblogs.com/loren-Yang/p/11073536.html 数据结构 Java HashMap原理: https://yikun.g
个人理解TCPSYN Cookie
weixin_30555515的博客
09-07 375
  说起SYN Cookie还是得从TCP3次握手开始说起,先给出计网的体系结构图 然后解释一下SYN,seq,ack,ACK的相关名词 SYN(建立连接)ACK(确认后全部为1)PSH(传送)FIN(结束)RST(重置)URG(紧急) 产生SYN Flood(一种dos攻击方式):在建立三次握手的情况时,第二、三次握手,双方分别分...
tcp_syncookies防护部分SYN***
weixin_33975951的博客
09-23 173
tcp_syncookies是一个开关,是否打开SYN Cookie功能,该功能可以防止部分SYN***。tcp_synack_retries和tcp_syn_retries定义SYN的重试次数。----------------------------------------参数说明-----------------------------------------------...
实践和原则,哪个更重要?tcp syncookie的问题和解法
TCP/IP
04-17 1万+
测了一次tcp syncookie的抗D性能,发现了一件有趣的事情,周末写一篇随笔出来。 请看下面的时序: 简单讲就是在syncookie被触发的时候,客户端可能会被静默丢掉最多3个字节,所谓静默就是客户端认为这些字节被收到了(因为它们被确认了),然而服务端真真切切没有收到。 关于这个POC也非常简单: //$ cat poc.c #include <stdio.h> #include <stdlib.h> #include <string.h> #include &l
SYNCookie原理及在Linux内核中的实现
zhangxinrun的专栏
09-22 983
概述   在目前以IPv4为支撑的网络协议上搭建的网络环境中,SYN Flood是一种非常危险而常见的DoS攻击方式。到目前为止,能够有效防范SYN Flood攻击的手段并不多,而SYN Cookie就是其中最著名的一种。SYN Cookie原理由D. J. Bernstain
Daniel J. Bernstein其人其事
fisher_jiang的专栏
07-18 3588
Daniel J. Bernstein其人其事最近在研究的shellcode的API动态定位的问题,为了提高效率和缩短shellcode的长度采用了hash值来代替函数名来进行查找,于是对比研究了一些字符串哈希函数,我发现不约而同的,几乎所有的流行的hash map都采用了DJB hash function,俗称“Times33”算法。Perl、Berkeley DB 、Apache、MFC、
SYN Flood攻击及防止攻击方法SYN COOKIE防火墙
g11111111的专栏
12-01 3519
SYN Flood攻击      SYN Flood是当前最流行的DoS(拒绝服务攻击)与DDoS(Distributed Denial Of Service分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,使被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。   SYN Flood攻击的过程在TCP协议中被称为三次握手(Three-way
SYN Cookie的原理和实现
Jiangtagong的博客
08-26 1379
选自于https://www.cnblogs.com/dhcn/p/10669168.html SYN Flood是一种非常危险而常见的Dos攻击方式。到目前为止,能够有效防范SYN Flood攻击的手段并不多,SYN Cookie就是其中最著名的一种。 SYN Flood攻击是一种典型的拒绝服务(Denial of Service)攻击。所谓的拒绝服务攻击就是通过进行攻击,使受害主机或网络不能提供良好的服务,从而间接达到攻击的目的。SYN Flood攻击利用的是IPv4中TCP协议的三次握手(T.
每天三道面试题,10K不是梦
qq_45373670的博客
11-07 1711
1.JDK 和 JRE 有什么区别? JRE是个运行环境,JDK是个开发环境。因此,开发程序时,写的Java程序就是在JDK上,而运行Java程序的时候,就 需要JRE。 2.== 和 equals 的区别是什么? 在JVM中,内存分为堆内存跟栈内存,对象存储在堆内存中,基本类型存储在栈内存, 用等于的时候,数据为基本类型时,比较的时值,数据为对象时,比较的是地址值, equals比较的是对象的内...
TCP--SYN洪水攻击
上善若水,水善利万物而不争。
03-28 7486
在查看TCP标识位SYN时,顺便关注了一下SYN Flood,从网上查阅一些资料加以整理:1.SYN洪水介绍当一个系统(客户端C)尝试和一个提供了服务的系统(服务器S)建立TCP连接,客户端C和服务端S会交换一系列报文。 正常的3次握手连接:首先是C发送一个SYN报文给服务端S,然后这个服务端发送一个SYN-ACK包以回应C,接着,C就返回一个ACK包来实现一次完整的TCP连接。就这样,C到服务端
SYN-cookie
最新发布
12-26
### SYN-cookie 技术原理 SYN-cookie 是一种用于抵御 SYN 泛洪攻击的技术,在不使用额外资源的情况下处理连接请求。当服务器接收到客户端发送的初始 SYN 请求时,并不会立即分配内存空间来保存半开连接的状态,而是通过特定算法计算出一个加密数值作为序列号返回给客户端。 #### 序列号生成机制 为了防止恶意用户猜测到合法的 ACK 响应包中的确认序号,SYN-cookie 使用了一个基于时间戳和其他参数(如源地址、目的端口等)组合而成的秘密函数来生成临时序列号[^1]。 ```c uint32_t make_syn_cookie(uint32_t saddr, uint16_t sport, uint32_t daddr, uint16_t dport, uint8_t *data, int datalen) { struct tcp_opt opt; unsigned long now = jiffies; /* 获取当前内核时间 */ // 计算选项字段 compute_tcpopts(&opt, data, datalen); // 构建并返回合成的cookie值 return secure_tcp_sequence_number(saddr, sport, daddr, dport, &opt, now); } ``` 此方法确保即使在遭受大量伪造的 SYN 数据包冲击期间也能正常工作而不耗尽系统资源。 #### 连接建立流程 一旦客户端回应带有正确 ACK 的数据包回来之后,服务端会解析其中的信息重新构建原始 TCP 三次握手过程中丢失掉的那个中间状态: - 提取 IP 地址和端口号信息; - 解码嵌入于 ACK 号内的附加信息以恢复 MSS 和其他可能存在的可选参数; - 验证解密后的结果是否合理有效; 只有当上述验证成功后才会正式创建新的套接字对象完成整个连接初始化过程[^2]。 ### 实现方式差异 值得注意的是不同操作系统对于 SYN-cookie 的具体实现存在细微差别。例如 Linux 内核版本间可能存在不同的优化策略或默认配置项影响实际效果。而在某些高性能网络设备上可能会有更复杂高效的变种形式比如 LVS 中提到的 syn-proxy 或者 XDP 层面的支持[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值