TCP三次握手图解/SYN flood攻击/四次挥手

TCP三次握手
对于网络工程师:几乎每次笔试必考!
对于SOCKET开发者:虽然TCP创建过程和链接折除过程是由TCP/IP协议栈自动创建的,但是需要理解TCP底层运作机制。

TCP三次握手(Three-way Handshake)

指建立一个TCP连接,需要客户端和服务器之间总共发送3个包。

三次握手的目的是连接服务器指定端口,建立TCP连接,并同步连接双方的序列号和确认号并交换 TCP 窗口大小信息。

在socket编程中,客户端执行connect() 则将触发三次握手。

简述三次握手

seq=x  客户端发送SYN=1
seq=y  服务端发送SYN=1和ACK=x+1  
seq=z   客户端发送ACK=y+1

规律:
ACK 总是等于 上一个包的seq值+1
前两个报文段 都有 SYN=1

详细解释

第一次握手
第一次握手:建立连接。
客户端发送TCP 连接请求报文段(其中SYN标志位置1,Sequence Number为x)
发送后,客户端进入SYN_SEND状态,开始等待来自服务器的确认;

该报文段,指明了客户端即将需要连接的 服务器上的 具体端口、初始序号X(保存在包头的Sequence Number字段)

第二次握手
服务器收到客户端的SYN报文段后,服务器进行应答:

设置 SYN标志位=1
设置 ACK标志位=x+1 即 Acknowledgment Number = (客户端的ISN)Sequence Number+1
设置 seq=y 即 Sequence Number = y

服务器端将上述所有信息放到一个报文段(即SYN+ACK报文段)并发送给客户端,此时服务器进入SYN_RECV状态;

第三次握手
第三次握手:客户端收到服务器的SYN+ACK报文段

设置SYN标志位=0
设置Acknowledgment Number = y+1
设置seq=z

向服务器发送该ACK报文段。

这个报文段发送完毕以后,客户端和服务器端都进入ESTABLISHED状态,完成TCP三次握手。

SYN攻击

处于公网的攻击者短时间内构造大量SYN包(伪造其中的源IP地址),发送给服务器,导致服务器将 SYN-ACK包 发送到伪造的IP地址

此时服务器处于SYN_RECV状态,会等待一会最后一个握手包(因为网络拥塞也可能导致服务器无法收到ACK包)
半连接(half-open connect):服务端未收到客户端的ACK(第三个包)的TCP连接。

被伪造的ip当然不会发送最后一个握手包(因为它并未对该服务器发送第一个SYN包)

服务器不知道(SYN+ACK)是否发送成功,默认情况下tcp_syn_retries=5 (会重发5次),这些伪造的SYN包将占用服务器的未连接队列一段时间,导致正常的SYN请求被丢弃,消耗服务器的内存,带宽,网络堵塞。

服务器就很难根据IP来判断攻击者

只有收到客户端发来的ACK后,服务器转入ESTABLISHED状态。

很容易检测SYN攻击

Syn攻击是一个典型的DDOS攻击。当你在服务器上看到大量的半连接状态时,特别是源IP地址是随机的,基本上可以断定这是一次SYN攻击.
Linux下可以如下命令检测是否被Syn攻击

netstat -n -p TCP | grep SYN_RECV

一般较新的TCP/IP协议栈都对这一过程进行修正来防范Syn攻击,修改tcp协议实现。主要方法有:

  • SynAttackProtect保护机制
  • SYN cookies技术
  • 增加最大半连接和缩短超时时间等.

但是不能完全防范syn攻击。

RFC 4987的一些防御对策

Filtering

Increasing Backlog

Reducing SYN-RECEIVED Timer

Recycling the Oldest Half-Open TCP
回收最旧的半连接TCP

SYN Cache

SYN cookies

Hybrid Approaches

Firewalls and Proxies

防御DDOS

sudo sysctl -a | grep ipv4 | grep syn
输出类似:

net.ipv4.tcp_max_syn_backlog = 1024
net.ipv4.tcp_syncookies = 0
net.ipv4.tcp_synack_retries = 5 
net.ipv4.tcp_syn_retries = 5

/etc/sysctl.conf 加入以下内容:

net.ipv4.tcp_syncookies = 1 #是否打开SYN COOKIES的功能,“1”为打开,“2”关闭。 
net.ipv4.tcp_max_syn_backlog = 4096 # #SYN队列的长度,加大队列长度可以容纳更多等待连接的网络连接数。 
net.ipv4.tcp_synack_retries = 2 #SYN_ACK重试次数。 
net.ipv4.tcp_syn_retries = 2 #SYN重试次数。 

执行sysctl -p

提高TCP连接能力

net.ipv4.tcp_rmem = 32768 
net.ipv4.tcp_wmem = 32768 
net.ipv4.sack=0 #有的linux版本可能没有该关键字

TCP 四次挥手

TCP的连接的拆除需要发送四个包,因此称为四次挥手(four-way handshake)。客户端或服务器均可主动发起挥手动作,
在socket编程中,任何一方执行close()操作即可产生挥手操作。

参见wireshark抓包,实测的抓包结果并没有严格按挥手时序。估计是时间间隔太短造成。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 204,445评论 6 478
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,889评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 151,047评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,760评论 1 276
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,745评论 5 367
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,638评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,011评论 3 398
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,669评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,923评论 1 299
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,655评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,740评论 1 330
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,406评论 4 320
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,995评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,961评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,197评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,023评论 2 350
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,483评论 2 342

推荐阅读更多精彩内容