你不知道的tcp半连接、全连接全在这里了(2)
教程每周二、四、六更新
上一期我们学习了全连接队列,现在我们来看看半连接队列。
实战半连接队列
[root@rs01 ~]# ss -antp | grep SYN-RECV | wc -l
0
# 先关闭tcp_syncookies
[root@rs01 ~]# echo 0 > /proc/sys/net/ipv4/tcp_syncookies
# 客户端发起SYN泛洪攻击
# -S 表示采用SYN半连接方法
# -p 指定攻击的端口号
# --flood 泛洪攻击,尽可能快的发送数据包
[root@cloudstudy ~]# hping3 -S -p 80 --flood 10.0.0.62
# 到服务端去查看
[root@rs01 ~]# ss -antp | grep SYN-RECV | wc -l
2
[root@rs01 ~]# netstat -s | grep "SYNs to LISTEN"
185752 SYNs to LISTEN sockets dropped
如何增大半连接队列
内核对于半连接队列的限制是有三个逻辑的:
半连接队列满了且没有开启tcp_syncookies,丢弃
全连接队列满了,且有多个(大于1个)连接没有重传syn+ack,则丢弃
如果没有开启tcp_syncookies,并且max_syn_backlog减去半连接队列的长度小于某个值(sysctl_max_syn_backlog >> 2)时,则丢弃
实际上半连接队列最大值不是单单由 max_syn_backlog 决定,还跟 somaxconn 和 backlog 有关系。
实际调整半连接队列长度的时候,除了前面提到的需要增大全连接队列的值以外,还需要调整:
echo 5000 > /proc/sys/net/ipv4/tcp_max_syn_backlog半连接连接队列大小,建议调整为1024及以上(默认128)
echo 5000 > /proc/sys/net/core/somaxconn
# backlog的调整需要在web服务的配置文件中调整。其他应对SYN泛洪攻击的方法
除了调大半连接队列,还可以通过其他方式来防止SYN泛洪攻击。
方式1:开启tcp_syncookies功能(其实3.X内核是默认开启的。)
开启 tcp_syncookies 功能的方式也很简单,修改 Linux 内核参数:
[root@rs01 ~]# echo 1 > /proc/sys/net/ipv4/tcp_syncookies
方式2:减少SYN+ACK重传次数
当服务端受到 SYN 攻击时,就会有大量处于 SYN_REVC 状态的 TCP 连接,处于这个状态的 TCP 会重传 SYN+ACK (因为服务端迟迟收不到客户端的第三次ack),当重传超过次数达到上限后,就会断开连接。
那么针对 SYN 攻击的场景,我们可以减少 SYN+ACK 的重传次数,以加快处于 SYN_REVC 状态的 TCP 连接断开。
# 默认SYN+ACK 的重传次数为5次
[root@rs01 ~]# cat /proc/sys/net/ipv4/tcp_synack_retries
5
# 我们把它改为1次
[root@rs01 ~]# echo 1 > /proc/sys/net/ipv4/tcp_synack_retries
雷哥在这个暑假决定搞一件大事:带你学Linux 云计算 运维。
课程特色:
量身定制学习计划; 雷哥一对一答疑(集中做计划学习一个月,答疑有效期一年); 雷哥督促学习进度。 点我查看详情
看完本文有收获?请分享给更多人
推荐关注「Cloud研习社」,带你从零开始掌握云计算技术!