SYN cookie

已于 2022-07-29 19:17:33 修改
阅读量967 收藏 4
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 计算机网络 文章标签: 网络
于 2022-05-26 15:55:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_59287292/article/details/124986267
本文介绍了SynCookie的工作原理及其配置方法,旨在帮助读者理解如何利用SynCookie解决SYN洪泛攻击问题,并探讨了其他应对SYN攻击的技术手段。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

  1. syn cookie是用来干嘛的
    在这里插入图片描述
  • 如上图,TCP建立连接过程中,服务端在第二次握手后会将连接放入半连接队列中。然后在第三次握手成功后,从半连接队列中移除加入到全连接队列中。
  • 如果没有开启syn cookie,则当半连接队列满了之后,再有新的连接就会直接丢弃。
  • 当开启了syn cookie后,就可以在不使用syn半连接队列的情况下成功建立连接。

具体方法:

  • 服务器收到syn请求(第一次握手)后,会根据当前状态计算出一个cookie值。放在syn+ack报文(第二次握手)中发出。
  • 当客户端返回ack报文(第三次握手)时会再次带上这个cookie值。服务端取出这个值进行验证。如果合法就认为连接建立成功。加入全连接队列中。
  1. 如何开启syncookies功能:
    通过配置/proc/sys/net/ipv4/tcp_syncookies设置
    0:表示关闭该功能
    1:表示仅当syn半连接队列放不下时,再启用它(默认值)
    2:表示无条件开启该功能
    只需要设置1即可

解决syn-flood的其他办法:
1.修改内核参数,增大半连接队列的大小,重新编译内核
2.修改配置,减少SYN-ACK重传次数,因为当服务端受到 SYN 攻击时,就会有大量处于 SYN_REVC 状态的 TCP 连接,处于这个状态的 TCP 会重传 SYN+ACK ,当重传超过次数达到上限后,就会断开连接。那么针对 SYN 攻击的场景,我们可以减少 SYN+ACK 的重传次数,以加快处于 SYN_REVC 状态的 TCP 连接断开。

Linux: config: CONFIG_SYN_COOKIES
mzhan017的博客
02-27 649
这个工具很容易被利用,而且会导致DOS工具,妨碍其他整个用户的接入。如果设置为Y,TCP/IP 堆栈将使用"SYN cookie"的加密质询协议,使合法用户能够继续连接,即使您的计算机受到攻击。SYN Cookie,对合法用户是透明的,用户无需更改其 TCP/IP 软件。如果发生SYN flooded,内核上报的源地址很可能是攻击者伪造的;如果这种情况经常发生,最好关闭SYN cookies功能。这里有一个设置是两分钟的valid 时间,如果校验的cookie超过了两分钟,会认为校验失败。
SYN cookies机制下连接的建立
Justlinux2010的专栏
10-11 9033
在正常情况下,服务器端接收到客户端发送的SYN包,会分配一个连接请求块(即request_sock结构),用于保存连接请求信息,并且发送SYN+ACK包给客户端,然后将连接请求块添加到半连接队列中。客户端接收到SYN+ACK包后,会发送ACK包对服务器端的包进行确认。服务器端收到客户端的确认后,根据保存的连接信息,构建一个新的连接,放到监听套接字的连接队列中,等待用户层accept连接。这是正常的
SYN Cookie
weixin_43784305的博客
03-25 569
SYN Cookie算法 SYN Cookie是对TCP服务器端的三次握手做一些修改,专门用来防范SYN Flood攻击的一种手段。它的原理是,在TCP服务器接收到TCP SYN包并返回TCP SYN+ACK包时,不分配一个专门的数据区,而是根据这个SYN包计算出一个cookie值,这个cookie作为将要返回的SYN ACK包的初始序列号。当客户端返回一个ACK包时,根据包头信息计算cookie...
SYN Cookie 分析
最新发布
lxadccs的专栏
06-19 1072
攻击者伪造大量源 IP 发送 SYN 包,服务器返回 SYN+ACK 后无法收到真实 ACK 响应,导致半连接队列被填满,资源耗尽无法处理正常请求。验证公式:Hash(Secret + S_IP + S_PORT + D_IP + D_PORT + Timestamp) == 序列号。通过将 SYN Cookie 与流量清洗、IP 信誉系统联动,可构建更完善的 DDoS 防御体系,在保证服务可用性的同时降低资源消耗。每次验证需执行哈希计算,比传统方案增加约 10% CPU 开销,但节省 90% 内存资源。
深入浅出TCP中的SYN-Cookies
品学楼A107
05-26 4266
本文渐进地介绍TCP中的syn-cookie技术,包括其由来、原理、实例测试。 SYN Flood 攻击 TCP连接建立时,客户端通过发送SYN报文发起向处于监听状态的服务器发起连接,服务器为该连接分配一定的资源,并发送SYN+ACK报文。对服务器来说,此时该连接的状态称为半连接(Half-Open),而当其之后收到客户端回复的ACK报文后,连接才算建立完成。在这个过程中,如果服务器一直没有...
XDP-syncookie实现方式
linux_map的博客
04-03 1914
XDP程序 syncookie下沉到网卡驱动
操作系统安全:syncookie配置.docx
06-01
syncookie配置 简介 SYN Flood SYN Flood是一种非常危险而常见的Dos攻击方式。到目前为止,能够有效防范SYN Flood攻击的手段并不多,SYN Cookie就是其中最著名的一种。 SYN Flood攻击是一种典型的拒绝服务(Denial of Service)攻击。所谓的拒绝服务攻击就是通过进行攻击,使受害主机或网络不能提供良好的服务, 从而间接达到攻击的目的。SYN Flood攻击利用的是IPv4中TCP协议的三次握手(Three-Way Handshake)过程进行的攻击。 TCP服务器收到TCP SYN request包时,在发送TCP SYN + ACK包回客户机前,TCP服务器要先分配好一个数据区专门服务于这个即将形成的TCP连接。一般把收到SYN包而还收到ACK包时的连接状态称为半打开连接(Half-open Connection)。在最常见的SYN Flood攻击中,攻击者在短时间内发送大量的TCP SYN包给受害者。受害者(服务器)为每个TCP SYN包分配一个特定的数据区,只要这些SYN包具有不同的源地址(攻击者很容易伪造)。这将给TC
Linux下基于SYN Cookie的防SYN Flood攻击的实现与改进.pdf
09-06
Linux下基于SYN Cookie的防SYN Flood攻击的实现与改进 Linux操作系统中,SYN Flood攻击是一种常见的DoS攻击方式,对服务器的性能造成了极大的影响。为了防止SYN Flood攻击,SYN Cookie是一种常用的防御方式。本文...
SYN Cookie原理及在Linux内核中的实现
03-04
SYN Cookie原理与Linux内核实现详解 SYN Flood攻击是一种常见的分布式拒绝服务(DoS)攻击手段,尤其在网络环境基于IPv4的TCP/IP协议栈中。这种攻击利用TCP协议的三次握手流程,通过发送大量伪造源地址的SYN请求,...
cookie操作的url使用
YunShuMingliao的专栏
11-14 1615
设置好cookie之后,需要将 host文件设置,127.0.0.1虚拟一个host,否则使用localhost,或者127.0.0.1都没有作用。 127.0.0.1 app.w.cn 访问url的时候,就http://app.w.cn:8080/market-webapp/  后面的是项目名称,
TCP SYNCookie机制
书唐瑞的博客
08-29 1989
TCP SYN cookie机制
SYN-cookie 和地址状态监控
nie19940803的博客
08-03 1100
1.SYNcookie技术  一般情况下,当服务器收到一个TCP SYN报文后,马上为该连接请求分配缓冲区,然后返回一个SYN+ACK报文,这时形成一个半连接。SYN Flood正是利用了这一点,发送大量的伪造源地址的SYN连接请求,而不完成连接。这样就大量的消耗的服务器的资源。 SYNcookie技术针对标准TCP连接建立过程资源分配上的这一缺陷,改变了资源分配的策略。当服务器收到一个S
SYN Cookie原理及其在Linux内核中的实现
dddfly的专栏
12-10 558
http://www.ibm.com/developerworks/cn/linux/l-syncookie/index.html本文就分别介绍一下 SYN Flood 攻击和 SYN Cookie 的原理,更重要的是介绍 Linux 内核中实现SYN Cookie 的方式。最后,本文给出一种增强目前 Linux 中 SYN Cookie 功能的想法。 概述 在
关于tcp你应该知道的---1、tcp_syncookies和他的小伙伴们
热门推荐
wuji0447的专栏
10-26 1万+
tcp_syncookies是一个开关,是否打开SYN Cookie功能,该功能可以防止部分SYN攻击。tcp_synack_retries和tcp_syn_retries定义SYN的重试次数。 ----------------------------------------参数说明-------------------------------------------------------
防范SYN洪泛攻击的方法 -- SYN cookie
畅春园
07-17 1882
在tcp的三次握手中,如果客户端不发送ACK来完成三次握手的第三步,那么通常一分多钟之后,服务器将中止半开连接并回收资源。如果攻击者发送大量的TCPSYN报文段,而不完成第三次握手的步骤,那么服务器会不断为这些半开连接分配资源,导致服务器的连接资源被消耗殆尽。..................
php发送syn ack,深入浅出TCP中的SYN-Cookies
weixin_32691913的博客
03-27 230
本文渐进地介绍TCP中的syn-cookie技术,包括其由来、原理、实例测试。SYN Flood 攻击TCP连接建立时,客户端通过发送SYN报文发起向处于监听状态的服务器发起连接,服务器为该连接分配一定的资源,并发送SYN+ACK报文。对服务器来说,此时该连接的状态称为半连接(Half-Open),而当其之后收到客户端回复的ACK报文后,连接才算建立完成。在这个过程中,如果服务器一直没有收到ACK...
TCP/IP详解 第十二章(5) 什么是syncookies
caofengtao1314的专栏
06-04 952
如果 SYN 半连接队列已满,只能丢弃连接吗? 并不是这样,开启 syncookies 功能就可以在不使用 SYN 半连接队列的情况下成功建立连接,在前面我们源码分析也可以看到这点,当开启syncookies 功能就不会丢弃连接。 syncookies 是这么做的:服务器根据当前状态计算出一个值,放在己方发出的 SYN+ACK 报文中发出,当客户端返回 ACK 报文时,取出该值验证,如果合法,就认为连接建立成功,如下图所示。 syncookies 参数主要有以下三个值: 0 值,表..
syn cookie
10-09
Syn cookie 是一种用于防止 TCP SYN 攻击的技术。在 SYN 攻击中,攻击者发送大量伪造的 TCP SYN 请求,占用服务器资源并导致服务不可用。而使用 Syn cookie 技术,服务器可以在收到 SYN 请求时生成一个特殊的响应,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值