SYN cookies

已于 2024-07-24 16:43:04 修改
阅读量393 收藏 5
点赞数 5
文章标签: 网络 tcp/ip 网络协议
于 2024-07-24 16:41:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/liuhaijin1/article/details/140667079
版权

SYN cookies

应对SYN Flood攻击
Syn-Flood攻击成立的关键在于服务器资源是有限的,而服务器收到请求会分配资源。通常来说,服务器用这些资源保存此次请求的关键信息,包括请求的来源和目(五元组),以及TCP选项,如最大报文段长度MSS、时间戳timestamp、选择应答使能Sack、窗口缩放因子Wscale等等。当后续的ACK报文到达,三次握手完成,新的连接创建,这些信息可以会被复制到连接结构中,用来指导后续的报文收发。

那么现在的问题就是服务器如何在不分配资源的情况下

  1. 验证之后可能到达的ACK的有效性,保证这是一次完整的握手
  2. 获得SYN报文中携带的TCP选项信息

SYN cookies 算法

SYN Cookies算法wiki可以解决上面的第1个问题以及第2个问题的一部分

我们知道,TCP连接建立时,双方的起始报文序号是可以任意的。SYN cookies利用这一点,按照以下规则构造初始序列号:

  • t为一个缓慢增长的时间戳(典型实现是每64s递增一次)
  • m为客户端发送的SYN报文中的MSS选项值
  • s是连接的元组信息(源IP,目的IP,源端口,目的端口)和t经过密码学运算后的Hash值,即s = hash(sip,dip,sport,dport,t)s的结果取低 24

则初始序列号n为:

  • 5 位为t mod 32
  • 接下来3位为m的编码值
  • 24 位为s

当客户端收到此SYN+ACK报文后,根据TCP标准,它会回复ACK报文,且报文中ack = n + 1,那么在服务器收到它时,将ack - 1就可以拿回当初发送的SYN+ACK报文中的序号了!服务器巧妙地通过这种方式间接保存了一部分SYN报文的信息。

接下来,服务器需要对ack - 1这个序号进行检查:

  • 将高 5 位表示的t与当前之间比较,看其到达地时间是否能接受。
  • 根据t和连接元组重新计算s,看是否和低 24 一致,若不一致,说明这个报文是被伪造的。
  • 解码序号中隐藏的mss信息

到此,连接就可以顺利建立了。

SYN Cookies 缺点

既然SYN Cookies可以减小资源分配环节,那为什么没有被纳入TCP标准呢?原因是SYN Cookies也是有代价的:

  1. MSS的编码只有3位,因此最多只能使用 8MSS
  2. 服务器必须拒绝客户端SYN报文中的其他只在SYNSYN+ACK中协商的选项,原因是服务器没有地方可以保存这些选项,比如WscaleSACK
  3. 增加了密码学运算
SYN Cookie
一枚野生程序员 —— Tim
02-07 1182
SYN泛洪攻击SYN攻击其实就是Server收到Client的SYN,Server向Client发送SYN-ACK之后未收到Client的ACK确认报文, 这样服务器就需要维护海量的半开连接 ,等待客户端的 ACK, 最终导致服务器资源耗尽(sync queue 满)而丢弃新的连接。 Server会不断重发SYN-ACK,Linux服务器默认直到63秒才断开连接! SYN...
深入浅出TCP中的SYN-Cookies
品学楼A107
05-26 4213
本文渐进地介绍TCP中的syn-cookie技术,包括其由来、原理、实例测试。 SYN Flood 攻击 TCP连接建立时,客户端通过发送SYN报文发起向处于监听状态的服务器发起连接,服务器为该连接分配一定的资源,并发送SYN+ACK报文。对服务器来说,此时该连接的状态称为半连接(Half-Open),而当其之后收到客户端回复的ACK报文后,连接才算建立完成。在这个过程中,如果服务器一直没有...
SYN cookies机制下连接的建立
Justlinux2010的专栏
10-11 9016
在正常情况下,服务器端接收到客户端发送的SYN包,会分配一个连接请求块(即request_sock结构),用于保存连接请求信息,并且发送SYN+ACK包给客户端,然后将连接请求块添加到半连接队列中。客户端接收到SYN+ACK包后,会发送ACK包对服务器端的包进行确认。服务器端收到客户端的确认后,根据保存的连接信息,构建一个新的连接,放到监听套接字的连接队列中,等待用户层accept连接。这是正常的
什么是SYN cookie
weixin_44390164的博客
09-27 3257
1. syn cookie是用来干嘛的 如上图,TCP建立连接过程中,服务端在第二次握手后会将连接放入半连接队列中。然后在第三次握手成功后,从半连接队列中移除加入到全连接队列中。 如果没有开启syn cookie,则当半连接队列满了之后,再有新的连接就会直接丢弃。 当开启了syn cookie后,就可以在不使用syn半连接队列的情况下成功建立连接。具体方法: 服务器收到syn请求(第一次握手)后,会根据当前状态计算出一个cookie值。放在syn+ack报文(第二次握手)中发出。 当客户端返
快速穷举TCP连接欺骗攻击-利用SYN Cookies
Coisini的博客
06-12 495
TCP 利用 32比特的 Seq/Ack 序列号来确认每一个连接的可靠性. 此外, 这些32位的序列号还能保证服务器不会被会话劫持,伪造一个服务器发出的初始序列号(ISN) 是个难以实现的技术. 因为暴力破解的话需要穷举这个32比特的序列号,在一个千兆比特级别的网卡上也是很难实现的. 今天的文章将为大家带来是如何利用 TCP SYN Cookies (一项广泛使用的用来防止SYN-Floodi...
net.ipv4.tcp_syncookies = 1net.ipv4.tcp_syncookies = 1net.ipv4.tcp_syncookies = 1 net.ipv4.tcp_syncookies = 1net.ipv4.tcp_syncookies = 1net.ipv4.tcp_syncookies = 1 net.ipv4.tcp_syncookies = 1net.ipv4.tcp_syncookies = 1net.ipv4.tcp_syncookies = 1 net.ipv4.tcp_syncookies = 1net.ipv4.tcp_syncookies = 1net.ipv4.tcp_syncookies = 1 net.ipv4.tcp_syncookies = 1net.ipv4.tcp_syncookies = 1net.ipv4.tcp_syncookies = 1 net.ipv4.tcp_syncookies = 1net.ipv4.tcp_syncookies = 1net.ipv4.tcp_syncookies = 1 net.ipv4.tcp_syncookies = 1net.ipv4.tcp_syncookies = 1net.ipv4.tcp_syncookies = 1 net.ipv4.tcp_syncookies = 1net.ipv4.tcp_syncookies = 1net.ipv4.tcp_syncookies = 1 net.ipv4.tcp_syncookies = 1net.ipv4.tcp_syncookies = 1net.ipv4.tcp_syncookies = 1 net.ipv4.tcp_syncookies = 1net.ipv4.tcp_syncookies = 1net.ipv4.tcp_syncookies = 1 net.ipv4.tcp_syncookies = 1net.ipv4.tcp_syncookies = 1net.ipv4.tcp_syncookies = 1 net.ipv4.tcp_syncookies = 1net.ipv4.tcp_syncookies = 1net.ipv4.tcp_syncookies = 1 net.ipv4.tcp_syncookies = 1net.ipv4.tcp_syncookies = 1net.ipv4.tcp_syncookies = 1 net.ipv4.tcp_syncookies = 1net.ipv4.tcp_syncookies = 1net.ipv4.tcp_syncookies = 1 net.ipv4.tcp_syncookies = 1net.ipv4.tcp_syncookies = 1net.ipv4.tcp_syncookies = 1 net.ipv4.tcp_syncookies = 1net.ipv4.tcp_syncookies = 1net.ipv4.tcp_syncookies = 1 net.ipv4.tcp_syncookies = 1net.ipv4.tcp_syncookies = 1net.ipv4.tcp_syncookies = 1 net.ipv4.tcp_syncookies = 1net.ipv4.tcp_syncookies = 1net.ipv4.tcp_syncookies = 1 net.ipv4.tcp_syncookies = 1net.ipv4.tcp_syncookies = 1net.ipv4.tcp_syncookies = 1 net.ipv4.tcp_syncookies = 1net.ipv4.tcp_syncookies = 1net.ipv4.tcp_syncookies = 1 net.ipv4.tcp_syncookies = 1net.ipv4.tcp_syncookies = 1net.ipv4.tcp_syncookies = 1 net.ipv4.tcp_syncookies = 1net.ipv4.tcp_syn
03-17
这是一段 Linux 内核参数设置,其中 "net.ipv4.tcp_syncookies" 是用于启用 TCP SYN Cookies 的参数,值为 1 表示启用。这是一种防止 SYN Flood 攻击的技术。这段代码重复了很多次,可以简化为 ...
SYN cookies 误判
05-02
SYN cookies 是一种用于防止 DDoS 攻击的技术,它可以帮助服务器识别和拦截恶意的 SYN 请求。但是,SYN cookies 技术也可能会发生误判,将合法的 SYN 请求误认为是恶意的请求,从而阻止合法用户访问服务器。 这种...
TCP SYNCookie机制
书唐瑞的博客
08-29 1954
TCP SYN cookie机制
SYN-cookie 和地址状态监控
08-03
针对SYN Flood的防范策略和原理
SYN Cookie的原理和实现
weixin_30457465的博客
01-06 1070
本文主要内容:SYN Cookie的原理,以及它的内核实现。 内核版本:3.6 Author:zhangskd @ csdn blog SYN Flood 下面这段介绍引用自[1]. SYN Flood是一种非常危险而常见的Dos攻击方式。到目前为止,能够有效防范SYN Flood攻击的手段并不多, SYN Cookie就是其中最著名的一种。 SYN Flo...
SYN Cookies 技术
〓☆〓 清风徐来918 (QQ:89617663)
11-22 1238
TCP协议开辟了一个比较大的内存空间 backlog队列 来存储 半连接条目 ,当SYN请求不断增加,并这个空间,致使系统 丢弃SYN连接 。为使半连接队列被塞满的情况下,服务器仍能处理新到的SYN请求,SYN cookies技术被设计出来。 SYN cookies应用于linux、FreeBSD等操作系统,当半连接队列满时,SYN cookies并不丢弃SYN请求,而是通过 加密 技术
TCP SYN-Cookie的原理和扩展
热门推荐
TCP/IP
05-21 1万+
SYN-Cookie概述预防半连接攻击,SYN-Cookie是一种有效的机制,它的基本原理非常简单,那就是“完成三次握手前不为任何一个连接分配任何资源”,它是怎么做到的呢?也是非常简单。1.编码信息将一些本应该在本地保存的信息编码到返回给客户端的SYN-ACK的初始化序列号或者时间戳里面。握手尚未完成不分配任何资源(Linux即不分配request结构体)。2.解码信息等到客户端的ACK最终到来的
SYNCookie原理
啊浪的博客
10-06 1534
发起一个TCP 连接时,客户端将一个SYN包发送给服务器。作为响应,服务器将SYN + ACK 包返回给客户端。此数据包中有一个序号,它被TC 用来重新组装数据流。 SYN Cookies是根据以下规则构造的初始序号: 令t为一个缓慢递增的时间戳(通常为time()>>6,提供64 秒的分辨率); 令m为服务器会在SYN 队列条目中存储的最大分段大小(Maximum ...
防范SYN洪泛攻击的方法 -- SYN cookie
畅春园
07-17 1861
在tcp的三次握手中,如果客户端不发送ACK来完成三次握手的第三步,那么通常一分多钟之后,服务器将中止半开连接并回收资源。如果攻击者发送大量的TCPSYN报文段,而不完成第三次握手的步骤,那么服务器会不断为这些半开连接分配资源,导致服务器的连接资源被消耗殆尽。..................
TCP SYN cookie的作用、原理、缺陷
超级码力
08-19 4186
SYN Flood 攻击 SYN cookie使用来抵御SYN 攻击的。SYN 攻击就是发很多的SYN给服务器,服务器收到SYN会为每个SYN创建一个TCB(Transmission Control Block),并将其放到半连接队列中。然而系统的半连接队列大小是有限制的(默认1024),如果半连接队列满了,服务器只能丢弃新来的请求了,从而正常的请求无法完成。 SYN Cookie概念 syn cookie究竟存在哪?它的实体就是服务器返回给客户端的ACK+SYN中的seq number。这个序列号本身也是
SYN cookie
weixin_59287292的博客
05-26 949
syn cookie的原理和syn-flood攻击的解决方法
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值