4.9 已建立连接的TCP,收到SYN会发生什么?

TCP连接管理:SYN重用与关闭策略
最新推荐文章于 2024-05-22 10:01:24 发布
原创 最新推荐文章于 2024-05-22 10:01:24 发布 · 1.2k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#tcp/ip #网络 #服务器

文章探讨了客户端SYN报文端口号变化对已建立连接的影响,以及如何通过RST报文关闭TCP连接。介绍了killcx和tcpkill工具在主动/被动获取序列号以关闭连接的区别。

1. 客户端的 SYN 报文里的端口号与历史连接不相同

此时服务端会认为是新的连接要建立,于是就会通过三次握手来建立新的连接。

旧连接里处于 Established 状态的服务端最后会怎么样呢?

服务端给客户端发消息了:客户端连接已被关闭,此时客户内核回RST报文,服释放连接;

服务端没给客户端发消息:超过一段时间,tcp保活机制启动,释放连接

2. 客户端的 SYN 报文里的端口号与历史连接相同

 处于 Established 状态的服务端收到了这个 SYN 报文(此时的 SYN 报文其实是乱序的,因为 SYN 报文的初始化序列号其实是一个随机数),服务端回复一个携带正确序列号的确认号的ACK报文,客户端接收到这个ACK发现不是自己想要的,返回RST给服务端,释放连接。

如何关闭TCP连接?

伪造一个RST报文,必须满足四元组相同序列号是对方期望的这两个条件。

killcx工具伪造一个四元组相同的SYN报文,来拿到合法的序列号。

tcpkill 工具是在双方进行 TCP 通信时,拿到对方下一次期望收到的序列号。然后将序列号填充到伪造的 RST 报文,并将其发送给对方,达到关闭 TCP 连接的效果。

  • tcpkill 属于被动获取,必须再双方进行TCP通信时,才能获取正确的序列号,显然这种方式无法关闭非活跃的TCP连接。
  • killcx 工具则是属于主动获取,它是主动发送一个 SYN 报文,通过对方回复的 Challenge ACK 来获取正确的序列号,所以这种方式无论 TCP 连接是否活跃,都可以关闭
计算机网络笔记、面试八股(四)—— TCP连接
Your_Raymond的博客
02-26 857
本章详细讲述了TCP连接,包含三次握手、四次挥手、ARQ协议、流量控制与拥塞控制等
在ubuntu16.04系统利用eBPF获取TCP网络状态信息
sf_jiang的博客
09-09 1528
通过eBPF获取linux系统tcp 连接状态信息
已经建立TCP收到SYN发生什么?
small_engineer的博客
04-21 2980
已经建立TCP收到SYN发生什么? 该场景可以描述为:客户端与服务端建立连接后,突然客户端死机了,而服务器处于establelisten状态,这时客户端开机后再次发送syn报文请求建立连接,那么服务端收到这个syn报文会做出什么反应呢?? 一个TCP连接是由一个四元组唯一确认的,此时源ip,目标ip,目标端口是确定的,只有源端口是不确定的。 客户端SYN报文的源端口与历史端口是不一样的 这样的话,相当于客户端重新建立起了一次新的连接 那么服务端处于establelisten状态连接,如果服务端
tcp连接_ESTABLISHED状态连接收到 SYN 会回复什么?
weixin_39715997的博客
11-28 724
通过阅读这篇文章,你会了解到这些知识ESTABLISHED 状态连接收到乱序包会回复什么Challenge ACK 的概念ACK 报文限速是什么鬼SystemTap 工具在 linux 内核追踪中的使用包注入神器 scapy 的使用RST 攻击的原理killcx 等工具利用 RST 攻击的方式来杀掉连接的原理接下来开始文章的内容。scapy 实验复现现象实验步骤如下:在机器 A(10.211.5...
TCP连接建立系列 — 服务端接收SYN
zhangskd的专栏
01-06 8378
状态为ESTABLISHED时,用tcp_rcv_established()接收处理状态为LISTEN时,说明这个sock处于监听状态,用于被动打开的接收处理,包括SYN和ACK。 当状态不为ESTABLISHED或TIME_WAIT时,用tcp_rcv_state_process()处理。 经由接收入口后,主要由tcp_v4_conn_request()进行处理
传输层 TCP 三次握手中性能优化 SYN_RCV 状态/syn攻击
小楼一夜听春雨,深巷明朝卖杏花
07-16 1612
•net.ipv4.tcp_syn_retries=6主动建立连接时,发SYN的重试次数(客户端发完syn,其实就进入了syn_sent状态,在syn_sent状态的时候,对于linux上面的负载均衡,或者向其他服务器建立大量连接的时候,也可以通过syn_retries来设置重发syn的重试次数)•net.ipv4.tcp_synack_retries被动建立连接时,发SYN/ACK的重试次数(当我们发送SYN/ACK之后,长时间没有得到ack响应,我们可能要重发SYN/ACK的重试次数).........
TCP连接状态详解
grantlee1988的专栏
06-24 1099
tcp状态: LISTEN:侦听来自远方的TCP端口的连接请求,表示服务器端的某个SOCKET处于监听状态,可以接受连接SYN-SENT:再发送连接请求后等待匹配的连接请求 SYN_SENT: 这个状态SYN_RCVD遥想呼应,当客户端SOCKET执行CONNECT连接时,它首先发送SYN报文,因此也随即它会进入到了SYN_SENT状态,并等待服务端的发送三次握手中的第2个
性能瓶颈定位指南:为什么你的TCP+JSON服务延迟飙升?(附压测数据支撑)
[性能瓶颈定位指南:为什么你的TCP+JSON服务延迟飙升?(附压测数据支撑)](https://datascientest.com/wp-content/uploads/2023/07/Illu_BLOG__nginx.png) # 摘要 本文系统探讨了服务端性能瓶颈的识别与优化路径...
总结TCP协议各类知识点
weixin_66046886的博客
03-29 1385
本篇博客博主将详细地介绍TCP有关知识点,坐好板凳发车啦~
net.ipv4.tcp_wmem = 8192 250000 16777216 21299200 net.core.wmem_max = net.core. rmem_max = 21299200 net.core. wmem default = 21299200 net.core.rmem_default = 21299200 net.ipv4.tcp_syncookies = 1 net.ipv4.tcp_sack = 1 net.ipv4.tcp_timestamps = 1 fs.aio-max-nr=1048576 fs.file-max= 76724600 kernel. sem = 4096 2048000 32 32768
最新发布
08-22
同时,我们也会考虑其他相关的内核参数。 根据引用[1]的提示,虽然有很多参数可以调整,但通常只需要调整几个关键参数即可获得良好的TCP性能。 ### 1. `net.ipv4.tcp_wmem` 参数 该参数用于设置TCP socket的写...
TCP三次握手相关问题详细解读
weixin_51490695的博客
10-29 1353
TCP三次握手相关情况
TCP的11中状态
jzyue
11-25 847
CLOSED:初始状态,表示TCP连接是“关闭着的”或“未打开的”。 LISTEN :表示服务器端的某个SOCKET处于监听状态,可以接受客户端的连接SYN_RCVD :表示服务器收到了来自客户端请求连接SYN报文。在正常情况下,这个状态服务器端的SOCKET在建立TCP连接时的三次握手会话过程中的一个中间状态,很短暂,基本上用netstat很难看到这种状态,除非故意写一个监测程序,将三次TCP握手过程中最后一个ACK报文不予发送。当TCP连接处于状态时,再收到客户端的ACK报文,它就会..
TCP三次握手和四次挥手
热门推荐
kking_edc的博客
11-04 1万+
一、三次握手 三次握手(Three-way Handshake)其实就是指建立一个TCP连接时,需要客户端和服务器总共发送3个包。进行三次握手的主要作用就是为了确认双方的接收能力和发送能力是否正常、指定自己的初始化序列号为后面的可靠性传送做准备。 刚开始时客户端处于Closed的状态服务端处于Listen状态。 进行三次握手: 第一次握手:客户端给服务端发一个 SYN 报文,并指明客户端的初始化序列号 ISN。此时客户端处于 SYN_SENT 状态。 首部的同步位SYN=1,初始序号seq=x,SYN=
TCP状态转换
一点点
08-14 305
1.TCP状态 从上面的TCP状态迁移图中可以看出,一共存在以下状态: CLOSED LISTEN SYN_RCVD SYN_SENT ESTABLISHED FIN_WAIT_1 FIN_WAIT_2 CLOSING TIME_WAIT CLOSE_WAIT LAST_ACK 2.TCP的三次握手及四次挥手 2.1 Client端的状态 SYN_SENT ESTABLISHED FIN...
传输层协议(三次握手四次挥手)快速入门
Stevelu的技术博客
01-17 1955
传输层协议(三次握手四次挥手) 三次握手: 1.发送方向接收方发送SYN请求 ⒉接收方接收到此请求后会主动回复一个ACK,并且同时也发送一个SYN请求 3.发送方接收到接收方发来的SYN请求后,给出一个ACK确认 四次挥手: 1.发送方向接收方发送一个FIN请求 ⒉接收方收到此请求后给出一个ACK确认(半关闭状态) 3.接收方发送一个FIN请求给发送方 4.发送方收到接收方的FIN请求后,回复一个ACK
MySQL 教程1
李浩荣的专栏
10-26 6581
连接与断开服务器为了连接服务器,当调用mysql时,通常需要提供一个MySQL用户名并且很可能需要一个 密码。如果服务器运行在登录服务器之外的其它机器上,还需要指定主机名。联系管理员以找出进行连接所使用的参数 (即,连接的主机、用户名和使用的密码)。知道正确的参数后,可以按照以下方式进行连接:shell> mysql -h host -u user -pEnter pass
在 TIME_WAIT 状态TCP 连接收到 SYN 后会发生什么?
小林coding
03-02 5149
周末跟朋友讨论了一些 TCP 的问题,在查阅《Linux 服务器高性能编程》这本书的时候,发现书上写了这么一句话: 书上说,处于 TIME_WAIT 状态连接,在收到相同四元组的 SYN 后,会回 RST 报文,对方收到后就会断开连接。 书中作者只是提了这么一句话,没有给予源码或者抓包图的证据。 起初,我看到也觉得这个逻辑也挺符合常理的,但是当我自己去啃了 TCP 源码后,发现并不是这样的。 所以,今天就来讨论下这个问题,「在 TCP 正常挥手过程中,处于 TIME_WAIT 状态连接收到相同四元组
TCP和UDP
qq_44707660的博客
03-07 324
TCP和UDP的区别 这篇博客和大家来说说TCP和UDP的区别把! 首先我们先从计算机网络的角度来阐述一下进程之间的通信问题: 从通信和信息处理的角度看,运输层向它上面的应用层提供通信服务,它属于面向通信部分的最高层,同时也是用户功能中的最低层。 当网络的边缘部分中的两个主机使用网络的核心部分的功能进行端到端的通信时,只有位于网络边缘部分的主机的协议栈才有运输层,而网络核心部分中的路由器在转发分组时都只用到下三层的功能。 两个主机之间的通信其实就是两个应用进程之间的通信,计算机中的进程用进程标识符:端口号来
建立连接TCP收到SYN发生什么?
smart_an的专栏
05-22 1359
要伪造一个能关闭 TCP 连接的 RST 报文,必须同时满足「四元组相同」和「序列号是对方期望的」这两个条件。今天给大家介绍了两种关闭 TCP 连接的工具:tcpkill 和 killcx 工具。这两种工具都是通过伪造 RST 报文来关闭 TCP 连接的,但是它们获取「对方下一次期望收到的序列号的方式是不同的,也正因此,造就了这两个工具的应用场景有区别。
NOTRACK影响什么内容?
07-29
<think>我们正在讨论的是iptables中的NOTRACK规则对连接跟踪的影响。根据引用[2],NOTRACK目标用于跳过连接跟踪。具体来说,当我们在raw表的PREROUTING或OUTPUT链中添加NOTRACK规则时,匹配的数据包将不会被连接跟踪模块处理连接跟踪(conntrack)是netfilter的一个核心模块,它负责跟踪数据包的状态(如NEW, ESTABLISHED, RELATED, INVALID)。通过连接跟踪,iptables可以实现有状态防火墙的功能。 使用NOTRACK规则后,数据包将不会进入连接跟踪系统,因此: 1. 该数据包不会创建新的连接跟踪条目。 2. 该数据包也不会更新任何已有的连接跟踪条目。 3. 后续相关的数据包(如响应包)将无法匹配到连接状态(如ESTABLISHED),因为连接跟踪中不存在对应的条目。 举例来说,如果我们对进入80端口的TCP SYN包设置了NOTRACK(如引用[2]中的例子): iptables -t raw -A PREROUTING -i ens33 -p tcp --dport 80 --syn -j NOTRACK 那么,这个SYN包不会被连接跟踪,因此不会创建相应的连接跟踪条目。当服务器返回SYN-ACK时,由于没有连接跟踪条目,这个SYN-ACK包可能会被防火墙视为无效(INVALID)或者不被识别为已建立连接(ESTABLISHED)的包,从而导致连接失败。 因此,使用NOTRACK需要谨慎,通常需要配合其他规则来允许相关数据包通过。 另外,引用[3]中提到的规则: iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 这条规则依赖于连接跟踪模块。如果我们在某个连接上使用了NOTRACK,那么该连接的后续包将无法匹配到ESTABLISHED状态,因此可能会被防火墙拒绝。 所以,当我们使用NOTRACK时,通常需要为这些数据包设置额外的规则来允许它们通过,而不依赖于连接跟踪状态。 总结NOTRACK的影响: 1. 跳过连接跟踪,减少系统开销(适用于高性能场景)。 2. 破坏有状态防火墙的功能,需要手动设置无状态规则。 3. 可能导致后续包无法识别状态而被丢弃,需要仔细设计规则。 注意:在raw表中使用NOTRACK规则时,要确保在后续的表中(如filter表)有相应的规则允许这些数据包,否则可能导致通信失败。 相关问题: 1. 在哪些场景下适合使用NOTRACK规则? 2. 如何为NOTRACK的数据包设置防火墙规则? 3. 使用NOTRACK后,如何保证通信的安全性?</think>### iptables 中 `NOTRACK` 规则对连接跟踪的影响分析 #### 一、`NOTRACK` 的核心作用 `NOTRACK` 是 iptables 在 **raw 表**中提供的特殊目标,其核心作用是**完全跳过连接跟踪(conntrack)机制**。当数据包匹配 `NOTRACK` 规则时: 1. **不创建连接跟踪条目** 数据包不会被记录到 `conntrack -L` 的输出中[^2] 2. **不更新状态机** 忽略所有状态转换(NEW/ESTABLISHED/RELATED/INVALID) 3. **绕过状态检测** 后续防火墙规则无法使用 `-m conntrack --ctstate` 匹配该数据包[^1][^5] ```mermaid graph LR A[数据包进入] --> B{raw 表 PREROUTING} B -->|匹配 NOTRACK| C[跳过 conntrack] B -->|未匹配| D[正常连接跟踪] C --> E[后续规则处理] ``` #### 二、对连接跟踪状态的影响 | **状态类型** | **未使用 NOTRACK** | **使用 NOTRACK** | |--------------|-------------------|------------------| | **NEW** | 首次包创建新条目 | ❌ 无条目创建 | | **ESTABLISHED** | 响应包更新状态 | ❌ 状态不更新 | | **RELATED** | 关联连接可识别 | ❌ 关联性丢失 | | **INVALID** | 异常包被标记 | ❌ 不检测异常 | #### 三、典型应用场景与风险 ##### 适用场景 1. **高性能网络处理** 对特定流量(如 UDP 视频流)禁用连接跟踪可减少 CPU 开销 ```bash iptables -t raw -A PREROUTING -p udp --dport 5000:6000 -j NOTRACK ``` 2. **避免状态冲突** 处理特殊协议(如 VRRP/HSRP)时防止状态误判 ##### 风险与缺陷 1. **状态防火墙失效** 经典放行规则失效: ```bash iptables -A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT # 不再生效[^3] ``` 2. **需手动放行双向流量** 必须添加显式规则: ```bash iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT ``` 3. **NAT 功能受限** 基于连接跟踪的 NAT(如 `MASQUERADE`)可能失效 #### 四、配置示例与验证 ##### 配置 NOTRACK ```bash # 跳过 HTTP 流量跟踪 iptables -t raw -A PREROUTING -p tcp --dport 80 -j NOTRACK iptables -t raw -A OUTPUT -p tcp --sport 80 -j NOTRACK # 放行流量(不依赖状态) iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT ``` ##### 验证效果 ```bash # 监控 conntrack 条目 conntrack -E -p tcp --dport 80 # 检查规则计数 iptables -t raw -vL iptables -vL INPUT ``` #### 五、与其他技术的对比 | **机制** | **资源消耗** | **状态感知** | **规则复杂度** | |----------------|------------|------------|--------------| | **标准 conntrack** | 高 | ✔️ 完整 | 低(状态规则) | | **NOTRACK** | 低 | ❌ 无 | 高(需显式放行)| | **CT --notrack** | 中 | 部分 | 中 | > 注:`CT --notrack` 是更新的替代方案,提供更精细的控制(需内核 ≥4.9)[^2]
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值