TCP三次握手图解/SYN flood攻击/四次挥手

TCP三次握手
对于网络工程师:几乎每次笔试必考!
对于SOCKET开发者:虽然TCP创建过程和链接折除过程是由TCP/IP协议栈自动创建的,但是需要理解TCP底层运作机制。

TCP三次握手(Three-way Handshake)

指建立一个TCP连接,需要客户端和服务器之间总共发送3个包。

三次握手的目的是连接服务器指定端口,建立TCP连接,并同步连接双方的序列号和确认号并交换 TCP 窗口大小信息。

在socket编程中,客户端执行connect() 则将触发三次握手。

TCP三次握手图解/SYN flood攻击/四次挥手_第1张图片

简述三次握手

seq=x  客户端发送SYN=1
seq=y  服务端发送SYN=1和ACK=x+1  
seq=z   客户端发送ACK=y+1

规律:
ACK 总是等于 上一个包的seq值+1
前两个报文段 都有 SYN=1

详细解释

第一次握手
第一次握手:建立连接。
客户端发送TCP 连接请求报文段(其中SYN标志位置1,Sequence Number为x)
发送后,客户端进入SYN_SEND状态,开始等待来自服务器的确认;

该报文段,指明了客户端即将需要连接的 服务器上的 具体端口、初始序号X(保存在包头的Sequence Number字段)

TCP三次握手图解/SYN flood攻击/四次挥手_第2张图片

第二次握手
服务器收到客户端的SYN报文段后,服务器进行应答:

设置 SYN标志位=1
设置 ACK标志位=x+1 即 Acknowledgment Number = (客户端的ISN)Sequence Number+1
设置 seq=y 即 Sequence Number = y

服务器端将上述所有信息放到一个报文段(即SYN+ACK报文段)并发送给客户端,此时服务器进入SYN_RECV状态;

TCP三次握手图解/SYN flood攻击/四次挥手_第3张图片

第三次握手
第三次握手:客户端收到服务器的SYN+ACK报文段

设置SYN标志位=0
设置Acknowledgment Number = y+1
设置seq=z

向服务器发送该ACK报文段。

这个报文段发送完毕以后,客户端和服务器端都进入ESTABLISHED状态,完成TCP三次握手。

TCP三次握手图解/SYN flood攻击/四次挥手_第4张图片
100327003214

SYN攻击

处于公网的攻击者短时间内构造大量SYN包(伪造其中的源IP地址),发送给服务器,导致服务器将 SYN-ACK包 发送到伪造的IP地址

此时服务器处于SYN_RECV状态,会等待一会最后一个握手包(因为网络拥塞也可能导致服务器无法收到ACK包)
半连接(half-open connect):服务端未收到客户端的ACK(第三个包)的TCP连接。

被伪造的ip当然不会发送最后一个握手包(因为它并未对该服务器发送第一个SYN包)

服务器不知道(SYN+ACK)是否发送成功,默认情况下tcp_syn_retries=5 (会重发5次),这些伪造的SYN包将占用服务器的未连接队列一段时间,导致正常的SYN请求被丢弃,消耗服务器的内存,带宽,网络堵塞。

服务器就很难根据IP来判断攻击者

只有收到客户端发来的ACK后,服务器转入ESTABLISHED状态。

很容易检测SYN攻击

Syn攻击是一个典型的DDOS攻击。当你在服务器上看到大量的半连接状态时,特别是源IP地址是随机的,基本上可以断定这是一次SYN攻击.
在Linux下可以如下命令检测是否被Syn攻击

netstat -n -p TCP | grep SYN_RECV

一般较新的TCP/IP协议栈都对这一过程进行修正来防范Syn攻击,修改tcp协议实现。主要方法有:

  • SynAttackProtect保护机制
  • SYN cookies技术
  • 增加最大半连接和缩短超时时间等.

但是不能完全防范syn攻击。

RFC 4987的一些防御对策

Filtering

Increasing Backlog

Reducing SYN-RECEIVED Timer

Recycling the Oldest Half-Open TCP
回收最旧的半连接TCP

SYN Cache

SYN cookies

Hybrid Approaches

Firewalls and Proxies

防御DDOS

sudo sysctl -a | grep ipv4 | grep syn
输出类似:

net.ipv4.tcp_max_syn_backlog = 1024
net.ipv4.tcp_syncookies = 0
net.ipv4.tcp_synack_retries = 5 
net.ipv4.tcp_syn_retries = 5

/etc/sysctl.conf 加入以下内容:

net.ipv4.tcp_syncookies = 1 #是否打开SYN COOKIES的功能,“1”为打开,“2”关闭。 
net.ipv4.tcp_max_syn_backlog = 4096 # #SYN队列的长度,加大队列长度可以容纳更多等待连接的网络连接数。 
net.ipv4.tcp_synack_retries = 2 #SYN_ACK重试次数。 
net.ipv4.tcp_syn_retries = 2 #SYN重试次数。 

执行sysctl -p

提高TCP连接能力

net.ipv4.tcp_rmem = 32768 
net.ipv4.tcp_wmem = 32768 
net.ipv4.sack=0 #有的linux版本可能没有该关键字

TCP 四次挥手

TCP的连接的拆除需要发送四个包,因此称为四次挥手(four-way handshake)。客户端或服务器均可主动发起挥手动作,
在socket编程中,任何一方执行close()操作即可产生挥手操作。

TCP三次握手图解/SYN flood攻击/四次挥手_第5张图片
100327022731

参见wireshark抓包,实测的抓包结果并没有严格按挥手时序。估计是时间间隔太短造成。

TCP三次握手图解/SYN flood攻击/四次挥手_第6张图片
100327023334

你可能感兴趣的:(TCP三次握手图解/SYN flood攻击/四次挥手)