三次握手过程:
客户端视角:
1.客户端调用connect,开启计时器,发送SYN包,如果重传超时,认为连接失败
2.如果收到服务端的ACK,则进入ESTABLISHED状态
3.清除重传计时器,发送ACK,开启保活计时器:如果再次收到ACK+SYN说明服务端没收到第三次握手包,进行了重传,此时客户端会重传ACK
注意:由于客户端在第二次握手成功后已经进入ESTABLISHED状态,认为连接已经建立,但如果第三次握手包ACK丢失,且服务端一直未能收到ACK(服务端重传包丢失,或客户端收到重传包但ACK仍丢失),服务端会因为重传次数上限而认为连接失败,重新进入listen,那么此时是一种半连接,客户端发送数据会失败
服务端视角:
1.listen()创建半连接队列和全连接队列
2.收到SYN包,如果半连接队列已满,丢弃该连接,否则为该连接创建一个socket加入到半连接队列中
3.回复SYN-ACK包,开启重传计时器
4.等待ACK,没有收到则重传SYN-ACK,重传上限后,认为连接失败,清除socket,回到listen状态
5.如果收到ACK,则进入ESTABLISHED状态
防御SYN泛洪攻击:
1. SYN Cookies
SYN Cookies是一种在服务器端防止SYN泛洪攻击的技术。当服务器收到SYN请求时,不直接为其分配资源,而是通过计算一种特殊的加密散列值(称为SYN Cookie)来生成一个SYN-ACK报文的序列号,发送给客户端。只有当客户端回应ACK时,服务器才真正为连接分配资源,并通过验证ACK中的序列号来确认连接的合法性。
- 优点:不需要维护大量的半连接状态,可以有效防止队列溢出。
- 缺点:可能会增加服务器的计算负担,并且在某些情况下(如选择确认SACK的使用)限制了TCP的功能。
2. 增加半连接队列的大小
通过增大服务器的半连接队列(backlog)大小,可以增加服务器在短时间内能够处理的未完成连接的数量,从而在一定程度上缓解SYN泛洪攻击的影响。
- 优点:简单有效,能够承受更大规模的攻击。
- 缺点:只是暂时缓解,当攻击流量进一步增加时,效果有限。
3. 减少SYN-ACK重传次数
服务器可以通过减少SYN-ACK的重传次数和降低重传的超时时间来应对SYN泛洪攻击。这样可以减少半连接队列中停留时间过长的连接,从而尽快释放资源。
- 优点:快速清理无效连接。
- 缺点:可能会对网络条件较差的合法连接造成影响。
4. 启用防火墙或入侵检测系统(IDS/IPS)
防火墙和入侵检测系统可以检测并过滤掉异常的流量,从而在流量进入服务器之前将其拦截。
- 优点:可以在网络层或传输层提前处理攻击,减少服务器的负担。
- 缺点:配置和维护复杂,且可能存在误判的情况。
5. IP黑名单
通过检测和识别恶意IP,将其加入黑名单,阻止这些IP发送的SYN请求。
- 优点:直接阻断恶意流量。
- 缺点:难以应对分布式攻击(DDoS),并且误判风险较高。
6. 负载均衡和分布式架构
通过部署负载均衡器,将流量分散到多个服务器或分布式系统中,可以减轻单个服务器的负载压力,从而提高整体抗攻击能力。
- 优点:提高了系统的整体可用性和抗攻击能力。
- 缺点:需要额外的硬件或架构调整,增加了系统复杂性。
7. 速率限制(Rate Limiting)
可以配置服务器或网络设备对单个IP地址的SYN请求进行速率限制,防止单个IP地址在短时间内发送过多的连接请求。
- 优点:有效限制攻击者的请求速率。
- 缺点:可能影响到合法用户的正常请求,特别是在高并发情况下。
IP地址在短时间内发送过多的连接请求。
- 优点:有效限制攻击者的请求速率。
- 缺点:可能影响到合法用户的正常请求,特别是在高并发情况下。
推荐学习 https://xxetb.xetslk.com/s/p5Ibb
