bigtree_3721
bigtree_3721

SYN Cookie的原理和实现

SYN Flood

下面这段介绍引用自[1].

SYN Flood是一种非常危险而常见的Dos攻击方式。到目前为止,能够有效防范SYN Flood攻击的手段并不多,SYN Cookie就是其中最著名的一种。

SYN Flood攻击是一种典型的拒绝服务(Denial of Service)攻击。所谓的拒绝服务攻击就是通过进行攻击,使受害主机或网络不能提供良好的服务,

从而间接达到攻击的目的。SYN Flood攻击利用的是IPv4中TCP协议的三次握手(Three-Way Handshake)过程进行的攻击。

TCP服务器收到TCP SYN request包时,在发送TCP SYN + ACK包回客户机前,TCP服务器要先分配好一个数据区专门服务于这个即将形成的TCP连接。一般把收到SYN包而还未收到ACK包时的连接状态称为半打开连接(Half-open Connection)。在最常见的SYN Flood攻击中,攻击者在短时间内发送大量的TCP SYN包给受害者。受害者(服务器)为每个TCP SYN包分配一个特定的数据区,只要这些SYN包具有不同的源地址(攻击者很容易伪造)。这将给TCP服务器造成很大的系统负担,最终导致系统不能正常工作。

SYN Cookie

SYN Cookie原理由D.J. Bernstain和Eric Schenk提出。

SYN Cookie是对TCP服务器端的三次握手做一些修改,专门用来防范SYN Flood攻击的一种手段。它的原理是,在TCP服务器接收到TCP SYN包并返回TCP SYN + ACK包时,不分配一个专门的数据区,而是根据这个SYN包计算出一个cookie值。这个cookie作为将要返回的SYN ACK包的初始序列号(服务器侧的)。当客户端返回一个ACK包时,根据包头信息计算cookie,与返回的确认序列号(初始序列号 + 1)进行对比,如果相同,则是一个正常连接,然后,分配资源,建立连接。

 

实现的关键在于cookie的计算,cookie的计算应该包含本次连接的状态信息,使攻击者不能伪造。

cookie的计算:

服务器收到一个SYN包,计算一个消息摘要mac。

mac = MAC(A, k);

MAC是密码学中的一个消息认证码函数,也就是满足某种安全性质的带密钥的hash函数,它能够提供cookie计算中需要的安全性。

在Linux实现中,MAC函数为SHA1。

A = SOURCE_IP || SOURCE_PORT || DST_IP || DST_PORT || t || MSSIND

k为服务器独有的密钥,实际上是一组随机数。

t为系统启动时间,每60秒加1。

MSSIND为MSS对应的索引。

 //MSS是网络传输数据最大值,该值在TCP协商阶段会在报文中体现出来。解释如下:

client 发出syn报文,其中option选项填充的mss字段一般为1460,同样www server收到syn报文后,会发送syn+ack报文应答,option选项填充的mss字段也为1460;协商双方会比较syn和syn+ack报文中mss字段大小,选择较小的mss作为发送tcp分片的大小。通过比较,协商双方的tcp mss都是1460。


实现

 

(1)启用条件

判断是否使用SYN Cookie。如果SYN Cookie功能有编译进内核(CONFIG_SYN_COOKIE),且选项

tcp_syncookies不为0,那么可使用SYN Cookie。同时设置SYN Flood标志(listen_opt->synflood_warned)。

/* Return true if a syncookie should be sent. */
bool tcp_syn_flood_action(struct sock *sk, const struct sk_buff *skb, const char *proto)
{
    const char *msg = "Dropping request";
    bool want_cookie = false;
    struct listen_sock *lopt;

#ifdef CONFIG_SYN_COOKIE
    if (sysctl_tcp_syncookies) { /* 如果允许使用SYN Cookie */
        msg = "Sending cookies";
        want_cookie = true;
        NET_INC_STATS_BH(sock_net(sk), LINUX_MIB_TCPREQQFULLDOCOOKIES);
    } else
#endif
        NET_INC_STATS_BH(sock_net(sk), LINUX_MIB_TCPREQQFULLDROP);

    lopt = inet_csk(sk)->icsk_accept_queue.listen_opt; /* 半连接队列 */

    if (! lopt->synflood_warned) {
        lopt->synflood_warned = 1; /* 设置SYN Flood标志 */
        pr_info("%s: Possible SYN flooding on port %d. %s.  Check SNMP counters.\n",
                       proto, ntohs(tcp_hdr(skb)->dest), msg);
    }

    return want_cookie;
}

 

(2)生成cookie

计算SYN Cookie的值。

函数调用路径:

tcp_v4_conn_request

        |--> cookie_v4_init_sequence

                          |--> secure_tcp_syn_cookie

/* Generate a syncookie. mssp points to the mss, which is returned rounded down to the
 * value encoded in the cookie.
 */

__u32 cookie_v4_init_sequence(struct sock *sk, struct sk_buff *skb, __u16 *mssp)
{
    const struct iphdr *iph = ip_hdr(skb);
    const struct tcphdr *th = tcp_hdr(skb);
    int mssind; /* mss index */
    const __u16 mss = *mssp;

    tcp_synq_overflow(sk); /* 记录半连接队列溢出的最近时间 */

    for (mssind = ARRAY_SIZE(msstab) - 1; mssind; mssind--)
        if (mss >= msstab[mssind])
            break;
    *mssp = msstab[mssind];

    NET_INC_STATS_BH(sock_net(sk), LINUX_MIB_SYNCOOKIESSENT);

    return secure_tcp_syn_cookie(iph->saddr, iph->daddr, th->source, th->dest, ntohl(th->seq),
                      jiffies / (HZ * 60), mssind); /* 计算SYN Cookie的具体值 */
}
/* syncookie: remember time of last synqueue overflow */
static inline void tcp_synq_overflow(struct sock *sk)
{
    tcp_sk(sk)->rx_opt.ts_recent_stamp = jiffies;
}

/* 
 * MSS Values are taken from the 2009 paper
 * 'Measuring TCP Maximum Segment Size' by S. Alcock and R. Nelson:
 * - values 1440 to 1460 accounted for 80% of observed mss values
 * - values outside the 536-1460 range are rare (<0.2%).
 *
 * Table must be sorted.
 */
static __u16 const msstab[] = {
    64,
    512,
    536,
    1024,
    1440,
    1460,
    4312,
    8960,
};
static __u32 secure_tcp_syn_cookie(__be32 saddr, __be32 daddr, __be16 sport, __be16 dport,
                                   __u32 sseq, __u32 count, __u32 data)
{
    /* Compute the secure sequence number.
     * The output should be:
     * HASH(sec1, saddr, sport, daddr, dport, sec1) + sseq + (count * 2^24) +
     *     (HASH(sec2, saddr, sport, daddr, dport, count, sec2) % 2^24).
     * Where sseq is their sequence number and count increases every minute by 1.
     * As an extra hack, we add a small "data" value that encodes the MSS into the second hash value.
     */
    return (cookie_hash(saddr, daddr, sport, dport, 0, 0) + sseq + (count << COOKIEBITS) +
              ((cookie_hash(saddr, daddr, sport, dport, count, 1) + data) & COOKIEMASK));

}

#define COOKIEBITS 24 /* Upper bits store count */
#define COOKIEMASK (((__u32) 1 << COOKIEBITS) - 1)
#define SHA_DIGEST_WORDS 5
#define SHA_WORKSPACE_WORDS 16

服务器的密钥、SHA1计算。

__u32 syncookie_secret[2] [16 - 4 + SHA_DIGEST_WORDS];

static __init int init_syncookies(void)
{
    get_random_bytes(syncookie_secret, sizeof(syncookie_secret));
    return 0;
}

static DEFINE_PER_CPU(__u32 [16 + 5 + SHA_WORKSPACE_WORDS], ipv4_cookie_scratch);

static u32 cookie_hash(__be32 saddr, _be32 daddr, __be16 sport, __be16 dport, u32 count, int c)
{
    __u32 *tmp = __get_cpu_var(ipv4_cookie_scratch);

    memcpy(tmp + 4, syncookie_secret[c], sizeof(syncookie_secret[c])); /* c取值为0、1 */
    tmp[0] = (__force u32) saddr;
    tmp[1] = (__force u32) daddr;
    tmp[2] = ((__force u32) sport << 16) + (__force u32) dport;
    tmp[3] = count;

    sha_transform(tmp + 16, (__u8 *)tmp, tmp + 16 + 5); /* generate a 160-bit digest from 512-bit block */
    return tmp[17];
}

SHA1

安全哈希算法(Secure HASH Algorithm)主要适用于数字签名。

对于长度小于2^64位的消息,SHA1会产生一个160位的消息摘要。当接收到消息的时候,这个消息摘要可以用来

验证数据的完整性。在传输的过程中,数据可能会发生变化,那么这时候就会产生不同的消息摘要。

SHA1有如下特性:

1. 不可以从消息摘要中复原信息。

2. 两个不同的消息不会产生同样的消息摘要。

在Git中,也使用SHA1来标识每一次提交。

/* sha_transform - single block SHA1 transform
 * @digest: 160 bit digest to update
 * @data: 512 bits of data to hash
 * @array: 16 words of workspace (see note)
 *
 * This function generates a SHA1 digest for a single 512-bit block.
 * /
void sha_transform(__u32 *digest, const char *data, __u32 *array) {}

 

(3)保存TCP选项信息

tcp_v4_send_synack

        |--> tcp_make_synack

                       |--> cookie_init_timestamp

如果SYNACK段使用SYN Cookie,并且使用时间戳选项,则把TCP选项信息保存在SYNACK段中tsval的低6位。

/* When syncookies are in effect and tcp timestamps are enabled we encode tcp options
 * in the lower bits of the timestamp value that will be sent in the syn-ack.
 * Since subsequent timestamps use the normal tcp_time_stamp value, we must make
 * sure that the resulting initial timestamp is <= tcp_time_stamp.
 */
__u32 cookie_init_timestamp(struct request_sock *req)
{
    struct inet_request_sock *ireq;
    u32 ts, ts_now = tcp_time_stamp;
    u32 options = 0;
    ireq = inet_rsk(req);

    options = ireq->wscale_ok ? ireq->snd_wscale : 0xf;
    options |= ireq->sack_ok << 4;
    options |= ireq->ecn_ok << 5;

    ts = ts_now & ~TSMASK;
    ts |= options;

    if (ts > ts_now) {
        ts >>= TSBITS;
        ts--;
        ts <<= TSBITS;
        ts |= options;
    }
    return ts;
}

#define TSBITS 6
#define TSMASK (((__u32) 1 << TSBITS) - 1)


(4)验证cookie

函数调用路径:

tcp_v4_hnd_req

        |--> cookie_v4_check

                      |--> cookie_check

                                       |--> check_tcp_syn_cookie

 

SYN Cookie的设计非常巧妙, 我们来看看它是怎么验证的。

首先,把ACK包的ack_seq - 1,得到原来计算的cookie。把ACK包的seq - 1,得到SYN段的seq。

cookie的计算公式为:

cookie = cookie_hash(saddr, daddr, sport, dport, 0, 0) + seq +

                (t1 << 24) + (cookie_hash(saddr, daddr, sport, dport, t1, 1) + mssind) % 24;

t1为服务器发送SYN Cookie的时间,单位为分钟,保留在高12位。

mssind为MSS的索引(0 - 7),保留在低24位。

 

现在可以反过来求t1:

t1 = (cookie - cookie_hash(saddr, daddr, sport, dport, 0, 0) - seq) >> 24; /* 高12位表示时间 */

t2为收到ACK的时间,t2 - t1 < 4分钟,才是合法的。也就是说ACK必须在4分钟内到达才行。

 

验证完时间后,还需验证mssind:

cookie -= (cookie_hash(saddr, daddr, sport, dport, 0, 0) - seq);

mssind = (cookie - cookie_hash(saddr, daddr, sport, dport, t1, 1)) % 24; /* 低24位 */

mssind < 8,才是合法的。

 

如果t1和mssind都是合法的,则认为此ACK是合法的,可以直接完成三次握手。

/* Check if a ack sequence number is a valid syncookie.
 * Return the decoded mss if it is, or 0 if not.
 */

static inline int cookie_check(struct sk_buff *skb, __u32 cookie)
{
    const struct iphdr *iph = ip_hdr(skb);
    const struct tcphdr *th = tcp_hdr(skb);
    __u32 seq = ntohl(th->seq) - 1; /* SYN的序号 */

    __u32 mssind = check_tcp_syn_cookie(cookie, iph->saddr, iph->daddr, th->source, th->dest,
                          seq, jiffies / (HZ * 60), COUNTER_TRIES);

    /* 如果不合法则返回0 */
    return mssind < ARRAY_SIZE(msstab) ? msstab[mssind] : 0;
}

/* 使用SYN Cookie时,ACK超过了这个时间到达,会被认为不合法。*/
/* This (misnamed) value is the age of syncookie which is permitted.
 * Its ideal value should be dependent on TCP_TIMEOUT_INIT and sysctl_tcp_retries1.
 * It's a rather complicated formula (exponential backoff) to compute at runtime so it's
 * currently hardcoded here.
 */
#define COUNTER_TRIES 4 /* 4分钟 */

static __u32 check_tcp_syn_cookie(__u32 cookie, __be32 saddr, __be32 daddr, __be16 sport,
            __be16 dport, __u32 sseq, __u32 count, __u32 maxdiff)
{
    __u32 diff;

    /* Strip away the layers from the cookie, 剥去固定值的部分 */
    cookie -= cookie_hash(saddr, daddr, sport, dport, 0, 0) + sseq;

    /* Cookie is now reduced to (count * 2^24) + (hash % 2^24) */
    diff = (count - (cookie >> COOKIEBITS)) & ((__u32) -1 >> COOKIEBITS); /* 高12位是时间,单位为分钟 */
    if (diff >= maxdiff)
        return (__u32)-1;

    /* Leaving the data behind,返回的是原来的data,即mssind */
    return (cookie - cookie_hash(saddr, daddr, sport, dport, count - diff, 1)) & COOKIEMASK;
}

 

(5)建立连接

接收到ACK后,SYN Cookie的处理函数为cookie_v4_check()。

首先要验证cookie是否合法。

如果cookie是不合法的,返回监听sk,会导致之后发送一个RST给客户端。

如果cookie是合法的,则创建和初始化连接请求块。接着为新的连接创建和初始化一个新的传输控制块,

把它和连接请求块关联起来,最后把该连接请求块链入全连接队列中,等待accept()。

 

时间戳对SYN Cookie有着重要的意义,如果不支持时间戳选项,则通过SYN Cookie建立的连接就会不支持大多数TCP选项。

struct sock *cookie_v4_check(struct sock *sk, struct sk_buff *skb, struct ip_options *opt)
{
    struct tcp_options_received tcp_opt;
    const u8 *hash_location;
    struct inet_request_sock *ireq;
    struct tcp_request_sock *treq;
    struct tcp_sock *tp = tcp_sk(sk);
    const struct tcphdr *th = tcp_hdr(skb);
    __u32 cookie = ntohl(th->ack_seq) - 1;
    struct sock *ret = sk;
    struct request_sock *req;
    int mss;
    struct rtable *rt;
    __u8 rcv_wscale;
    bool ecn_ok = false;
    struct flowi4 fl4;

    if (! sysctl_tcp_syncookies || ! th->ack || th->rst)
        goto out;

    /* 验证cookie的合法性,必须同时符合:
     * 1. 最近3s内有发生半连接队列溢出。
     * 2. 通过cookie反算的t1和mssind是合法的。
     */
    if (tcp_synq_no_recent_overflow(sk) || (mss = cookie_check(skb, cookie)) == 0) {
        NET_INC_STATS_BH(sock_net(sk), LINUX_MIB_SYNCOOKIESFAILED);
        goto out;
    }
    NET_INC_STATS_BH(sock_net(sk), LINUX_MIB_SYNCOOKIESRECV);

    /* check for timestamp cookie support */
    memset(&tcp_opt, 0, sizeof(tcp_opt));

    /* 全面解析TCP选项,并保存到tcp_opt中 */
    tcp_parse_options(skb, &tcp_opt, &hash_location, 0, NULL);

    /* 如果有使用时间戳选项,则从ACK的tsecr中提取选项信息 */
    if (! cookie_check_timestamp(&tcp_opt, &ecn_ok))
        goto out;

    ret = NULL;
    /* 从缓存块中分配一个request_sock实例,指定此实例的操作函数集为tcp_request_sock_ops */
    req = inet_reqsk_alloc(&tcp_request_sock_ops);
    if (! req)
        goto out;

    ireq = inet_rsk(req);
    treq = tcp_rsk(req);
    treq->rcv_isn = ntohl(th->seq) - 1; /* 客户端的初始序列号 */
    treq->snt_isn = cookie; /* 本端的初始序列号 */
    req->mss = mss; /* 客户端通告的MSS,通过解析cookie获得 */
    ireq->loc_port = th->dest; /* 本端端口 */
    ireq->rmt_port = th->source; /* 客户端端口 */
    ireq->loc_addr = ip_hdr(skb)->daddr; /* 本端IP */
    ireq->rmt_addr = ip_hdr(skb)->saddr; /* 客户端IP */
    ireq->ecn_ok = ecn_ok; /* ECN选项,通过TS编码获得 */
    ireq->snd_wscale = tcp_opt.snd_wscale; /* 客户端窗口扩大因子,通过TS编码获得 */
    ireq->sack_ok = tcp_opt.sack_ok; /* SACK允许选项,通过TS编码获得 */
    ireq->wscale_ok = tcp_opt.wscale_ok; /* 窗口扩大选项,通过TS编码获得 */
    ireq->tstamp_ok = tcp_opt.saw_tstamp; /* 时间戳选项,通过观察ACK段有无携带时间戳 */
    req->ts_recent = tcp_opt.saw_tstamp ? tcp_opt.rcv_tsval : 0; /* 本端下个发送段的时间戳回显值 */
    treq->snt_synack = tcp_opt.saw_tstamp ? tcp_opt.rcv_tsecr : 0; /* 本端发送SYNACK段的时刻 */

    /* We throwed the options of the initial SYN away, so we hope the ACK carries the same options
     * again (see RFC1122 4.2.3.8)
     * 通过ACK段,获取IP选项。
     */
    if (opt && opt->optlen) {
        int opt_size = sizeof(struct ip_options_rcu) + opt->optlen;
        ireq->opt = kmalloc(opt_size, GFP_ATOMIC);

        if (ireq->opt != NULL && ip_options_echo(&ireq->opt->opt, skb)) {
            kfree(ireq->opt);
            ireq->opt = NULL;
        }
    }

    /* SELinux相关 */
    if (security_inet_conn_request(sk, skb, req)) {
        reqsk_free(req);
        goto out;
    }

    req->expires = 0UL; /* SYNACK的超时时间 */
    req->retrans = 0; /* SYNACK的重传次数 */

    /* We need to lookup the route here to get at the correct window size.
     * We should better make sure that the window size hasn't changed since we
     * received the original syn, but I see no easy way to do this.
     * 查找路由缓存。
     */
    flowi4_init_output(&fl4, 0, sk->sk_mark, RT_CONN_FLAGS(sk), RT_SCOPE_UNIVERSE,
        IPPROTO_TCP, inet_sk_flowi_flags(sk), (opt && opt->srr) ? opt->faddr : ireq->rmt_addr,
        ireq->loc_addr, th->source, th->dest);
    security_req_classify_flow(req, flowi4_to_flowi(&fl4));
    rt = ip_route_output_key(sock_net(sk), &fl4);
    if (IS_ERR(rt)) {
        reqsk_free(req);
        goto out;
    }

    /* Try to redo what tcp_v4_send_synack did. */
    req->window_clamp = tp->window_clamp ? : dst_metric(&rt->dst, RTAX_WINDOW);

    /* 获取接收窗口的初始值,窗口扩大因子和接收窗口的上限 */
    tcp_select_initial_window(tcp_full_space(sk), req->mss, &req->rcv_wnd, &req->window_clamp,
        ireq->wscale_ok, &rcv_wscale, dst_metric(&rt->dst, RTAX_INITRWND));
    ireq->rcv_wscale = rcv_wscale;

    /* 到了这里,三次握手基本完成。
     * 接下来为新的连接创建和初始化一个传输控制块,并把它和连接请求块关联起来。
     * 最后把该连接请求块移入全连接队列中,等待accept()。
     */
    ret = get_cookie_sock(sk, skb, req, &rt->dst);    

    /* ip_queue_xmit() depends on our flow being setup
     * Normal sockets get it right from inet_csk_route_child_sock()
     */
    if (ret)
        inet_sk(ret)->cork.fl.u.ip4 = fl4;

out: 
    return ret;
}

/* RFC 1122 initial RTO value, now used as a fallback RTO for the initial data
 * transmssion if no valid RTT sample has been accquired, most likely due to
 * retrans in 3WHS.
 */
#define TCP_TIMEOUT_FALLBACK ((unsigned) (3 * HZ)) 

/* syncookies: no recent synqueue overflow on this listening socket? 
 * 如果最近3s内没有发生半连接队列溢出,则为真。
 */
static inline bool tcp_synq_no_recent_overflow(const struct sock *sk)
{
    unsigned long last_overflow = tcp_sk(sk)->rx_opt.ts_recent_stamp;
    return time_after(jiffies, last_overflow + TCP_TIMEOUT_FALLBACK);
}

 

如果SYNACK段使用SYN Cookie,并且使用时间戳选项,则把TCP选项信息保存在SYNACK段中tsval的低6位。

所以,现在收到ACK后,可以从ACK段的tsecr中提取出这些选项。

/* When syncookies are in effect and tcp timestamps are enabled we stored addtional tcp
 * options in the timestamp.
 * This extracts these options from the timestamp echo.
 * The lowest 4 bits store snd_wscale.
 * next 2 bits indicate SACK and ECN support.
 * return false if we decode an option that should not be.
 */
bool cookie_check_timestamp(struct tcp_options_received *tcp_opt, bool *ecn_ok)
{
    /* echoed timestamp, lowest bits contain options */
    u32 options = tcp_opt->rcv_tsecr & TSMASK;

    /* 如果ACK没有携带时间戳,则把tcp_opt中的tstamp_ok、sack_ok、wscale_ok
     * snd_wscale和cookie_plus置零。
     */
    if (! tcp_opt->saw_tstamp) {
        tcp_clear_options(tcp_opt);
        return true;
    }

    if (! sysctl_tcp_timestamps)
        return false;

    tcp_opt->sack_ok = (options & (1 << 4)) ? TCP_SACK_SEEN : 0;
    *ecn_ok = (options >> 5) & 1;

    if (*ecn_ok && ! sysctl_tcp_ecn)
        return false;

    if (tcp_opt->sack_ok && ! sysctl_tcp_sack)
        return false;

    if ((options & 0xf) == 0xf)
        return true; /* no window scaling. */

    tcp_opt->wscale_ok = 1;
    tcp_opt->snd_wscale = options & 0xf;
    return sysctl_tcp_window_scaling != 0;
}

 

为新的连接创建和初始化一个传输控制块,然后把完成三次握手的req和新sock关联起来,

并把该连接请求块移入全连接队列中。

static inline struct sock *get_cookie_sock(struct sock *sk, struct sk_buff *skb,
     struct request_sock *req, struct dst_entry *dst)
{
    struct inet_connection_sock *icsk = inet_csk(sk);
    struct sock *child;

    /* 为新的连接创建和初始化一个传输控制块。
     * 对于TCP/IPv4,实例为ipv4_specific,调用tcp_v4_syn_recv_sock()
     */
    child = icsk->icsk_af_ops->syn_recv_sock(sk, skb, req, dst);

    if (child)
        /* 把完成三次握手的连接请求块,和新的sock关联起来,并把它移入全连接队列中。*/
        inet_csk_reqsk_queue_add(sk, req, child); 
    else
        reqsk_free(req);

    return child;
}
 
static inline void inet_csk_reqsk_queue_add(struct sock *sk, struct request_sock *req, struct sock *child)
{
    reqsk_queue_add(&inet_csk(sk)->icsk_accept_queue, req, sk, child);
}

 

把完成三次握手的连接请求块,和新的sock关联起来,并把它移入全连接队列中,等待被accept()。

static inline void reqsk_queue_add(struct request_sock_queue *queue, struct request_sock *req,
      struct sock *parent, struct sock *child)
{
    req->sk = child; /* 连接请求块request_sock,关联了一个新sock */
    sk_acceptq_added(parent); /* 监听sock的全连接队列中的连接请求个数加一 */

    /* 全连接队列是一个FIFO队列,把req加入到队列尾部 */
    if (queue->rskq_accept_head == NULL)
        queue->rskq_accept_head = req;
    else
        queue->rskq_accept_tail->dl_next = req;

    queue->rskq_accept_tail = req;
    req->dl_next = NULL;
}

static inline void sk_acceptq_added(struct sock *sk)
{
    sk->sk_ack_backlog++;
}

 

评价

 

SYN Cookie技术由于在建立连接的过程中不需要在服务器端保存任何信息,实现了无状态的三次握手,从而有效的

防御了SYN Flood攻击。但是该方法也存在一些弱点。由于cookie的计算只涉及到包头部分信息,在建立连接的过程

中不在服务器端保存任何信息,所以失去了协议的许多功能,比如超时重传。此外,由于计算cookie有一定的运算量,

增加了连接建立的延迟时间,因此,SYN Cookie技术不能作为高性能服务器的防御手段。通常采用动态资源分配机制,

当分配了一定的资源后再采用cookie技术,Linux就是这样实现的。还有一个问题是,当我们避免了SYN Flood攻击的

同时,也提供了另一种拒绝服务攻击方式,攻击者发送大量的ACK报文,服务器忙于计算验证。尽管如此,在预防

SYN Flood供给方面,SYN Cookie技术仍然是有效的(引用自[1])。

 

扩展

 

Linux内核中的SYN Cookie机制主要的功能是防止本机遭受SYN Flood攻击。

SYN Cookie Firewall利用SYN Cookie的原理,在内网和外网之间实现TCP三次握手过程的代理(proxy)。

一些SYN攻击的防火墙也是基于SYN Cookie,只是把这个功能移动到内核之外的代理服务器上。

 

Reference

 

[1]. https://www.ibm.com/developerworks/cn/linux/l-syncookie/

你可能感兴趣的:(tcp,cookie)

  • 高级编程--XML+socket练习题 masa010 java开发语言
    1.北京华北2114.8万人上海华东2,500万人广州华南1292.68万人成都华西1417万人(1)使用dom4j将信息存入xml中(2)读取信息,并打印控制台(3)添加一个city节点与子节点(4)使用socketTCP协议编写服务端与客户端,客户端输入城市ID,服务器响应相应城市信息(5)使用socketTCP协议编写服务端与客户端,客户端要求用户输入city对象,服务端接收并使用dom4j
  • 网络编程基础 记得开心一点啊 网络
    目录♫什么是网络编程♫Socket套接字♪什么是Socket套接字♪数据报套接字♪流套接字♫数据报套接字通信模型♪数据报套接字通讯模型♪DatagramSocket♪DatagramPacket♪实现UDP的服务端代码♪实现UDP的客户端代码♫流套接字通信模型♪流套接字通讯模型♪ServerSocket♪Socket♪实现TCP的服务端代码♪实现TCP的客户端代码♫什么是网络编程网络编程,指网络上
  • esp32开发快速入门 8 : MQTT 的快速入门,基于esp32实现MQTT通信 z755924843 ESP32开发快速入门服务器网络运维
    MQTT介绍简介MQTT(MessageQueuingTelemetryTransport,消息队列遥测传输协议),是一种基于发布/订阅(publish/subscribe)模式的"轻量级"通讯协议,该协议构建于TCP/IP协议上,由IBM在1999年发布。MQTT最大优点在于,可以以极少的代码和有限的带宽,为连接远程设备提供实时可靠的消息服务。作为一种低开销、低带宽占用的即时通讯协议,使其在物联
  • 计算机网络八股总结 Petrichorzncu 八股总结计算机网络笔记
    这里写目录标题网络模型划分(五层和七层)及每一层的功能五层网络模型七层网络模型(OSI模型)==三次握手和四次挥手具体过程及原因==三次握手四次挥手TCP/IP协议组成==UDP协议与TCP/IP协议的区别==Http协议相关知识网络地址,子网掩码等相关计算网络模型划分(五层和七层)及每一层的功能五层网络模型应用层:负责处理网络应用程序,如电子邮件、文件传输和网页浏览。主要协议包括HTTP、FTP
  • tcp线程进程多并发 @莫福瑞 算法
    tcp线程多并发#include#defineSERPORT8888#defineSERIP"192.168.0.118"#defineBACKLOG20typedefstruct{intnewfd;structsockaddr_incin;}BMH;void*fun1(void*sss){intnewfd=accept((BMH*)sss)->newfd;structsockaddr_incin
  • 慢速连接攻击是什么?慢速连接攻击怎么防护? 快快小毛毛 网络ddos服务器
    慢速连接攻击(SlowConnectionAttack),又称慢速攻击(SlowlorisAttack),是一种网络攻击技术,旨在通过占用服务器上的所有可用连接资源来使其无法响应正常请求。与传统的拒绝服务(DoS)和分布式拒绝服务(DDoS)攻击不同,慢速攻击并不依赖于发送大量数据包来消耗带宽,而是利用HTTP、TCP或SSL等协议的特性,通过发送大量不完整的请求或缓慢发送数据来占用服务器资源,使
  • 【仿RabbitMQ消息队列项目day2】使用muduo库中基于protobuf的应用层协议进行通信 月夜星辉雪 rabbitmq网络分布式c++后端服务器linux
    一.什么是muduo?muduo库是⼀个基于非阻塞IO和事件驱动的C++高并发TCP网络编程库。简单来理解,它就是对原生的TCP套接字的封装,是一个比socket编程接口更好用的编程库。二.使用muduo库完成一个英译汉翻译服务TranslateServer.hpp:#pragmaonce#include#include#include#include#include"muduo/net/TcpC
  • HTTP 请求处理的完整流程到Servlet流程图 烟雨国度 httpservlet流程图
    HTTP请求处理的完整流程。从TCP三次握手开始,一直到Servlet处理请求并返回响应。首先,让我解释一下response.setContentType("text/html;charset=UTF-8");这行代码:这行代码设置了HTTP响应的Content-Type头。它告诉浏览器:响应的内容类型是HTML(text/html)字符编码是UTF-8(charset=UTF-8)这样浏览器就知
  • Adb无线连接调试 EHCB adbandroid
    1.在开发者选项打开usb调试,以及无线调试2.手机连接wifi,进入设置静态ip地址,网关3.手机通过usb先连接电脑4.adbdevices命令检查设备连接情况5.adbtcpip55556.adb-s255d50d7tcpip5555(255d50d7为第4步获取的设备号)7.断开手机与PC的USB连接8.adbconnect192.168.200.220:5555(ip为第2步设置的ip地
  • adb无线连接电脑 Devin_TS pyhon自动化相关adb指令脚本自动化androidadb
    一.前提条件:1.电脑与手机连接在同一个路由器二.打开电脑的端口//手机无线连接使用adbtcpip5555//可以随意设置端口,只要跟电脑已有端口不重复即可ps:如果运行指令没有生效,连接数据线后,再运行三.查看手机的IP地址路径:手机→设置→关于手机→状态信息→IP地址四.运行指令,无线连接手机adbconnect192.168.66.106:5555ps:如果运行指令没有生效,连接数据线后,
  • FRotation FVector 相互转换 我真的不知道该起什么名字了
    FVectortoFRotatorFRotatorFVector::Rotation()const{returnToOrientationRotator();}FRotatortoFVectorCORE_APIFVectorFRotator::Vector()const{floatCP,SP,CY,SY;FMath::SinCos(&SP,&CP,FMath::DegreesToRadians(P
  • Session与Cookie的区别 李蕴Ronnie
    1.存储位置不同Cookie的数据信息存放在客户端浏览器上Session的数据信息存放在服务器上2.存储容量不同单个Cookie保存的数据<=4kb,一个站点最多保存20个CookieSession容量没有上限,但出于对服务器端的性能考虑,Session内不要存放过多的东西,并且要设置Session删除机制3.存取方式不同
  • adb有线连接正常,adb connect失败 cheri-- adbandroid
    adbconnect失败1.确认两个设备在同一个局域网2.确认此网络是否有adb连接的权限(有的公司网络不允许adb)3.确认防火墙设置如果前面3步都确认没问题,Pingip也能成功,那么有可能就是端口的问题:step1:先用有线连接设备,执行adbtcpip5555step2:拔掉有线step3:adbconnect192.168.1.105这样大概率就能成功了
  • cookie和session的区别 小草_fdba
    cookie是在客户端保持状态的方案,session是在服务端保持状态cookie不是很安全,可以分析本地的cookie,并进行cookie欺骗session一段时间内会保存在服务器上,当访问增多会占用服务器性能单个cookie保存数据不能超过4k,很有浏览器限制一个站点最多保存20个cookie
  • Java-网络 胡净 java网络开发语言
    Java中的网络编程主要涉及使用Socket类进行网络通信,以及理解各种网络协议。以下是一些关键概念和示例代码,帮助您入门。1.网络协议Java支持多种网络协议,最常用的包括:TCP(传输控制协议):面向连接的协议,确保数据的可靠传输。UDP(用户数据报协议):无连接的协议,适用于对速度要求高但对可靠性要求低的应用。网络通信模型通常指的是OSI(开放系统互联)模型,它将网络通信分为七个层次。每一层
  • 网上商城项目总结 续 猫只i javaweb电子商城结构
    前台1.用户登录注册邮箱验证校验用户名是否存在验证码自动登录2.导航条自定义标签库采用异步读取数据(使用gson将集合转换json数据)Redis服务器3.首页热门商品查询展示4.分类列表分页查询5.商品详情用cookie实现浏览记录6.购物车实现商品添加到购物车商品的查询,添加,修改,删除清空购物车7.提交订单添加订单(订单详情)确认订单(易宝支付)8.我的订单9.Fliter定义权限拦截(提交
  • 每日刷题Day_15-17 Minamoshizuku 每日刷题
    1.在TCP/IP协议簇中,UDP协议工作在()。正确答案:B你的答案:B(正确)应用层传输层网络互联层网络接口层2.查看本机的IP配置、子网掩码、网关等信息,可使用下列哪个命令?()正确答案:D你的答案:D(正确)pingtelnettraceipconfig3.计算机网络有很多功能,最主要的是()。正确答案:D你的答案:D(正确)电子邮件电子商务WWW资源共享4.在OSI七层模型中,网络层的主
  • 前端性能优化 EdmundChen
    要做性能优化,首先我们得知道用户从开始访问站点到看结果的这一段时间到底后花在了哪些地方。这就设计到一个经典问题。在游览器输入地址按下回车键之后到用户看到结果经历了哪些过程,这里简单说一下大的几个过程。(假设是输入的一个域名而非IP)1.通过DNS解析获得网址的对应IP地址2.浏览器拿到IP地址与远程web服务器通过TCP三次握手协商来建立一个TCP/IP连接3.浏览器通过HTTP接发送请求4.服务
  • QMQTT在项目中的用法 好学松鼠 c++qt
    在一次项目实践中,需要使用MQTT协议向服务器发送数据,经过了解之后MQTT协议底层是基于TCP协议的。正好使用QT在开发项目,就在网上搜索了MQTT相关的开源三方库,因此就找到了基于QT的QMQTT的库。QMQTT库的源码可以再github或者gitee上获取到,具体的用法如下:1、初始化QMQTT#include"qmqtt.h"//服务器IP端口QMQTT::Client*client=ne
  • SQL Server 6.5 配置使用要点 rc_cdeoo_com sqlserverserversecuritymanager网络协议sql
    SQLServer6.5在安装使用时的默认配置并不能带来系统性能的最大优化,某些使用方法没有具体的说明,在具体应用过程中感觉非常不便。下面结合本人在使用中的心得,就SQLServer6.5的一些安装使用方法作了简要介绍,各位可以针对自己的情况进行修改。1.安装中的要点安装时要求系统使用WindowsNTServer4.0,并且加装SP4。a)网络安装过程中选择网络时,安装程序默认不使用TCP/IP
  • MySQL8.0默认TCP端口介绍 zxrhhm tcp/ip网络协议mysql
    1、本文内容选择题TCP/IPMySQL8.0的默认TCP端口showvariables查看总结2、选择题A、3306B、33060C、33062D、330633、TCP/IPTCP/IP(TransmissionControlProtocol/InternetProtocol,传输控制协议/网际协议)是指能够在多个不同网络间实现信息传输的协议簇。以下是对TCP/IP协议的详细解释:3.1.定义与
  • MySQL连接层-(通讯协议-线程-验证) 否极泰来+ mysql
    通讯协议通讯协议连接方式所支持的操作系统TCP/IPlocal,remoteAIISocketfilelocalUNIX-derivedoperatingsystemsincludingLinux,BSD,MaxOSXSharedmemorylocalWindowsNamedpipeslocalWindows1.TCP/IP(传输控制协议/互联网协议):-是用于连接互联网上主机的一套通信协议-使用
  • socket网络编程 jdq_summer socket网络编程socket网络编程
    TCP实现网络通信:服务器端一、创建服务器套接字(CREATE)。二、服务器套接字进行信息绑定(BIND),并开始监听连接(LISTEN)。三、接受来自客户端的连接请求(ACCEPT),并创建接收进程。四、开始数据传输(SEND、RECEIVE)。五、关闭套接字(CLOSESOCKET)。客户机端一、创建客户机套接字(CREATE)。二、与远程服务器进行连接(CONNECT),如被接受则创建接收进
  • PTA:7-1 售货机内的商品数据 萠哥啥都行 c语言
    有一个售货柜员机,内有多种商品供人购买(商品种类不超过100个),每种商品有名称,数量,单价等信息。编程完成n种商品信息的输入输出。输入格式:第一行输入商品种类个数n,第二行依次输入商品的名称,数量,单价。输出格式:输出商品名称,数量,单价(保留1位小数)和总价(等于单价*数量,保留2位小数),不同数字之间有一个空格。输入样例:4bread35.2milk53.5cookie301.5cake25
  • VB验证码短信接口插件示例 短信接口开发
    下面为您您提供了VB6版本的验证码短信接口对接DEMO例子免费体验注册地址:http://user.ihuyi.com/?DKimmuPrivateSubForm_Load()Winsock1.Protocol=sckTCPProtocolWinsock1.RemoteHost="106.ihuyi.com"Winsock1.RemotePort=80Winsock1.ConnectDoEvent
  • 【rsync+ssh】rsync远程同步备份数据 Bogon
    rsync连接远程主机进行同步或备份时有两种途径:1.使用远程shell程序(如ssh或rsh)进行连接2.使用TCP直接连接rsyncdaemonrsyncdaemon是"rsync--daemon"或再加上其他一些选项启动的,它会读取配置文件,默认是/etc/rsyncd.conf,并默认监听在873端口上,当外界有客户端对此端口发起连接请求,通过这个网络套接字就可以完成连接,以后与该客户端通
  • TCP和UDP的区别 life_binary Linux网络编程
    TCP和UDP都是传输层的协议TCP面向连接的、可靠地、数据流服务UDP无连接的、不可靠的、数据报服务那么为什么TCP可靠,为什么UDP不可靠呢?也就是是什么保证了TCP是可靠的呢?共有四点原因:1、TCP保证数据都能到达对端。是通过应答确认机制和超时重传机制来保证的。2、TCP保证数据有序。TCP的每一个报文段都有序号3、TCP保证数据不失真。TCP报头有16位的冗余检验码4、滑动窗口和拥塞控制
  • linux 端口数据转发,Linux iptables 端口转发 文静的妹子 linux端口数据转发
    准备:1,UDP端口范围映射2,tcp端口范围映射3,本机端口转发4,单个端口转发准备:打开转发[root@CentOS~]#cat/etc/sysctl.conf|grepnet.ipv4.ip_forwardnet.ipv4.ip_forward=1清空规则,修改默认策略,重要数据请备份[root@CentOS~]#iptables-F-tnat[root@CentOS~]#iptables-
  • 即时通讯开发之TCP/IP中的TCP 协议概述 wecloud1314 tcp/ip网络udp
    终于看到了TCP协议,这是TCP/IP详解里面最重要也是最精彩的部分,要花大力气来读。前面的TFTP和BOOTP都是一些简单的协议,就不写笔记了,写起来也没啥东西。TCP和UDP处在同一层---运输层,但是TCP和UDP最不同的地方是,TCP提供了一种可靠的数据传输服务,TCP是面向连接的,也就是说,利用TCP通信的两台主机首先要经历一个“拨打电话”的过程,等到通信准备结束才开始传输数据,最后结束
  • 浏览器的新建无痕窗口:是否真的无痕? 晓生谈跨境 服务器运维
    随着互联网的普及和隐私保护意识的提升,浏览器的无痕模式(也称为隐私浏览模式或隐身窗口)逐渐成为用户保护个人隐私的一种常用手段。然而,关于无痕窗口是否真的无痕,却存在不少争议和误解。本文将从多个角度分析这一问题,揭示无痕窗口的真相。一、无痕窗口的定义与工作原理无痕窗口,顾名思义,就是用户在浏览网页时不留下任何本地记录的浏览器功能。在无痕模式下,浏览器不会保存浏览历史、Cookie、表单数据、缓存文件
  • Js函数返回值 _wy_ jsreturn
    一、返回控制与函数结果,语法为:return 表达式;作用: 结束函数执行,返回调用函数,而且把表达式的值作为函数的结果 二、返回控制语法为:return;作用: 结束函数执行,返回调用函数,而且把undefined作为函数的结果 在大多数情况下,为事件处理函数返回false,可以防止默认的事件行为.例如,默认情况下点击一个<a>元素,页面会跳转到该元素href属性
  • MySQL 的 char 与 varchar bylijinnan mysql
    今天发现,create table 时,MySQL 4.1有时会把 char 自动转换成 varchar 测试举例: CREATE TABLE `varcharLessThan4` ( `lastName` varchar(3) ) ; mysql> desc varcharLessThan4; +----------+---------+------+-
  • Quartz——TriggerListener和JobListener eksliang TriggerListenerJobListenerquartz
    转载请出自出处:http://eksliang.iteye.com/blog/2208624 一.概述 listener是一个监听器对象,用于监听scheduler中发生的事件,然后执行相应的操作;你可能已经猜到了,TriggerListeners接受与trigger相关的事件,JobListeners接受与jobs相关的事件。   二.JobListener监听器  j
  • oracle层次查询 18289753290 oracle;层次查询;树查询
    .oracle层次查询(connect  by) oracle的emp表中包含了一列mgr指出谁是雇员的经理,由于经理也是雇员,所以经理的信息也存储在emp表中。这样emp表就是一个自引用表,表中的mgr列是一个自引用列,它指向emp表中的empno列,mgr表示一个员工的管理者, select   empno,mgr,ename,sal  from e
  • 通过反射把map中的属性赋值到实体类bean对象中 酷的飞上天空 javaee泛型类型转换
    使用过struts2后感觉最方便的就是这个框架能自动把表单的参数赋值到action里面的对象中 但现在主要使用Spring框架的MVC,虽然也有@ModelAttribute可以使用但是明显感觉不方便。 好吧,那就自己再造一个轮子吧。 原理都知道,就是利用反射进行字段的赋值,下面贴代码 主要类如下:   import java.lang.reflect.Field; imp
  • SAP HANA数据存储:传统硬盘的瓶颈问题 蓝儿唯美 HANA
    SAPHANA平台有各种各样的应用场景,这也意味着客户的实施方法有许多种选择,关键是如何挑选最适合他们需求的实施方案。 在 《Implementing SAP HANA》这本书中,介绍了SAP平台在现实场景中的运作原理,并给出了实施建议和成功案例供参考。本系列文章节选自《Implementing SAP HANA》,介绍了行存储和列存储的各自特点,以及SAP HANA的数据存储方式如何提升空间压
  • Java Socket 多线程实现文件传输 随便小屋 javasocket
            高级操作系统作业,让用Socket实现文件传输,有些代码也是在网上找的,写的不好,如果大家能用就用上。 客户端类:   package edu.logic.client; import java.io.BufferedInputStream; import java.io.Buffered
  • java初学者路径 aijuans java
    学习Java有没有什么捷径?要想学好Java,首先要知道Java的大致分类。自从Sun推出Java以来,就力图使之无所不包,所以Java发展到现在,按应用来分主要分为三大块:J2SE,J2ME和J2EE,这也就是Sun ONE(Open Net Environment)体系。J2SE就是Java2的标准版,主要用于桌面应用软件的编程;J2ME主要应用于嵌入是系统开发,如手机和PDA的编程;J2EE
  • APP推广 aoyouzi APP推广
    一,免费篇 1,APP推荐类网站自主推荐 最美应用、酷安网、DEMO8、木蚂蚁发现频道等,如果产品独特新颖,还能获取最美应用的评测推荐。PS:推荐简单。只要产品有趣好玩,用户会自主分享传播。例如足迹APP在最美应用推荐一次,几天用户暴增将服务器击垮。 2,各大应用商店首发合作 老实盯着排期,多给应用市场官方负责人献殷勤。 3,论坛贴吧推广 百度知道,百度贴吧,猫扑论坛,天涯社区,豆瓣(
  • JSP转发与重定向 百合不是茶 jspservletJava Webjsp转发
      在servlet和jsp中我们经常需要请求,这时就需要用到转发和重定向;   转发包括;forward和include     例子;forwrad转发;  将请求装法给reg.html页面   关键代码;    req.getRequestDispatcher("reg.html
  • web.xml之jsp-config bijian1013 javaweb.xmlservletjsp-config
    1.作用:主要用于设定JSP页面的相关配置。 2.常见定义: <jsp-config> <taglib> <taglib-uri>URI(定义TLD文件的URI,JSP页面的tablib命令可以经由此URI获取到TLD文件)</tablib-uri> <taglib-location> TLD文件所在的位置
  • JSF2.2 ViewScoped Using CDI sunjing CDIJSF 2.2ViewScoped
    JSF 2.0 introduced annotation @ViewScoped; A bean annotated with this scope maintained its state as long as the user stays on the same view(reloads or navigation - no intervening views). One problem w
  • 【分布式数据一致性二】Zookeeper数据读写一致性 bit1129 zookeeper
    很多文档说Zookeeper是强一致性保证,事实不然。关于一致性模型请参考http://bit1129.iteye.com/blog/2155336    Zookeeper的数据同步协议 Zookeeper采用称为Quorum Based Protocol的数据同步协议。假如Zookeeper集群有N台Zookeeper服务器(N通常取奇数,3台能够满足数据可靠性同时
  • Java开发笔记 白糖_ java开发
    1、Map<key,value>的remove方法只能识别相同类型的key值   Map<Integer,String> map = new HashMap<Integer,String>(); map.put(1,"a"); map.put(2,"b"); map.put(3,"c"
  • 图片黑色阴影 bozch 图片
     .event{ padding:0;    width:460px;    min-width: 460px;    border:0px solid #e4e4e4;    height: 350px;    min-heig
  • 编程之美-饮料供货-动态规划 bylijinnan 动态规划
    import java.util.Arrays; import java.util.Random; public class BeverageSupply { /** * 编程之美 饮料供货 * 设Opt(V’,i)表示从i到n-1种饮料中,总容量为V’的方案中,满意度之和的最大值。 * 那么递归式就应该是:Opt(V’,i)=max{ k * Hi+Op
  • ajax大参数(大数据)提交性能分析 chenbowen00 WebAjax框架浏览器prototype
    近期在项目中发现如下一个问题 项目中有个提交现场事件的功能,该功能主要是在web客户端保存现场数据(主要有截屏,终端日志等信息)然后提交到服务器上方便我们分析定位问题。客户在使用该功能的过程中反应点击提交后反应很慢,大概要等10到20秒的时间浏览器才能操作,期间页面不响应事件。 根据客户描述分析了下的代码流程,很简单,主要通过OCX控件截屏,在将前端的日志等文件使用OCX控件打包,在将之转换为
  • [宇宙与天文]在太空采矿,在太空建造 comsci
         我们在太空进行工业活动...但是不太可能把太空工业产品又运回到地面上进行加工,而一般是在哪里开采,就在哪里加工,太空的微重力环境,可能会使我们的工业产品的制造尺度非常巨大....      地球上制造的最大工业机器是超级油轮和航空母舰,再大些就会遇到困难了,但是在空间船坞中,制造的最大工业机器,可能就没
  • ORACLE中CONSTRAINT的四对属性 daizj oracleCONSTRAINT
    ORACLE中CONSTRAINT的四对属性 summary:在data migrate时,某些表的约束总是困扰着我们,让我们的migratet举步维艰,如何利用约束本身的属性来处理这些问题呢?本文详细介绍了约束的四对属性: Deferrable/not deferrable, Deferred/immediate, enalbe/disable, validate/novalidate,以及如
  • Gradle入门教程 dengkane gradle
    一、寻找gradle的历程 一开始的时候,我们只有一个工程,所有要用到的jar包都放到工程目录下面,时间长了,工程越来越大,使用到的jar包也越来越多,难以理解jar之间的依赖关系。再后来我们把旧的工程拆分到不同的工程里,靠ide来管理工程之间的依赖关系,各工程下的jar包依赖是杂乱的。一段时间后,我们发现用ide来管理项程很不方便,比如不方便脱离ide自动构建,于是我们写自己的ant脚本。再后
  • C语言简单循环示例 dcj3sjt126com c
    # include <stdio.h> int main(void) { int i; int count = 0; int sum = 0; float avg; for (i=1; i<=100; i++) { if (i%2==0) { count++; sum += i; } } avg
  • presentModalViewController 的动画效果 dcj3sjt126com controller
    系统自带(四种效果): presentModalViewController模态的动画效果设置:     [cpp]  view plain copy   UIViewController *detailViewController = [[UIViewController al
  • java 二分查找 shuizhaosi888 二分查找java二分查找
    需求:在排好顺序的一串数字中,找到数字T   一般解法:从左到右扫描数据,其运行花费线性时间O(N)。然而这个算法并没有用到该表已经排序的事实。 /** * * @param array * 顺序数组 * @param t * 要查找对象 * @return */ public stati
  • Spring Security(07)——缓存UserDetails 234390216 ehcache缓存Spring Security
           Spring Security提供了一个实现了可以缓存UserDetails的UserDetailsService实现类,CachingUserDetailsService。该类的构造接收一个用于真正加载UserDetails的UserDetailsService实现类。当需要加载UserDetails时,其首先会从缓存中获取,如果缓存中没
  • Dozer 深层次复制 jayluns VOmavenpo
    最近在做项目上遇到了一些小问题,因为架构在做设计的时候web前段展示用到了vo层,而在后台进行与数据库层操作的时候用到的是Po层。这样在业务层返回vo到控制层,每一次都需要从po-->转化到vo层,用到BeanUtils.copyProperties(source, target)只能复制简单的属性,因为实体类都配置了hibernate那些关联关系,所以它满足不了现在的需求,但后发现还有个很
  • CSS规范整理(摘自懒人图库) a409435341 htmlUIcss浏览器
       刚没事闲着在网上瞎逛,找了一篇CSS规范整理,粗略看了一下后还蛮有一定的道理,并自问是否有这样的规范,这也是初入前端开发的人一个很好的规范吧。 一、文件规范 1、文件均归档至约定的目录中。 具体要求通过豆瓣的CSS规范进行讲解: 所有的CSS分为两大类:通用类和业务类。通用的CSS文件,放在如下目录中: 基本样式库 /css/core
  • C++动态链接库创建与使用 你不认识的休道人 C++dll
    一、创建动态链接库 1.新建工程test中选择”MFC [dll]”dll类型选择第二项"Regular DLL With MFC shared linked",完成 2.在test.h中添加 extern “C” 返回类型 _declspec(dllexport)函数名(参数列表); 3.在test.cpp中最后写 extern “C” 返回类型 _decls
  • Android代码混淆之ProGuard rensanning ProGuard
    Android应用的Java代码,通过反编译apk文件(dex2jar、apktool)很容易得到源代码,所以在release版本的apk中一定要混淆一下一些关键的Java源码。 ProGuard是一个开源的Java代码混淆器(obfuscation)。ADT r8开始它被默认集成到了Android SDK中。 官网: http://proguard.sourceforge.net/
  • 程序员在编程中遇到的奇葩弱智问题 tomcat_oracle jquery编程ide
      现在收集一下:         排名不分先后,按照发言顺序来的。   1、Jquery插件一个通用函数一直报错,尤其是很明显是存在的函数,很有可能就是你没有引入jquery。。。或者版本不对 2、调试半天没变化:不在同一个文件中调试。这个很可怕,我们很多时候会备份好几个项目,改完发现改错了。有个群友说的好:   在汤匙
  • 解决maven-dependency-plugin (goals "copy-dependencies","unpack") is not supported xp9802 dependency
    解决办法:在plugins之前添加如下pluginManagement,二者前后顺序如下:   [html]  view plain copy   <build>           <pluginManagement
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他