syn攻击

转自：https://www.cnblogs.com/abdm-989/p/11979689.html#_label0 打开浏览器从输入网址到网页呈现在大家面前，背后到底发生了什么？经历怎么样的一个过程？先给大家来张总体流程图，具体步骤请看下文分解！ 从URL输入到页面展现 　　总体来说分为以下几个过程: 　　（1）URL 解析 　　（2）DNS 解析：将域名解析成 IP 地址 　　（3）TCP 连接：TCP 三次握手 　　（4）发送 HTTP 请求 　　（5）服务器处理请求并响应 HTTP 报文 　　（6）浏览器解析渲染页面 　　（7）断开连接：TCP 四次挥手 一 URL解析 URL（Uniform Resource Locator），统一资源定位符，用于定位互联网上资源，俗称网址。比如 http://www.w3school.com.cn/html/index.asp ，遵守以下的语法规则： 　　scheme://host.domain:port/path/filename 　　 各部分解释如下： 　　　　scheme - 定义因特网服务的类型。常见的协议有 http、https、ftp、file，其中最常见的类型是 http，而 https 则是进行加密的网络传输。 　　　　host - 定义域主机（http 的默认主机是 www） 　　　　domain - 定义因特网

背景 和女朋友异地恋一年多，为了保持感情我提议每天晚上视频聊天一次。 从好上开始，到现在，一年多也算坚持下来了。 问题 有时候聊天的过程中，我的网络或者她的网络可能会不好，视频就会卡住，听不到对方的声音，过一会儿之后才会恢复。 中间双方可能就要不断的确认网络是否恢复，但是有时候会： 她：“你可以听到了吗？” 我：“可以了，你呢？”、 她：“喂喂，你可以听到了吗？” 我：“可以了，我可以听到了，你呢？” 她：“你可以听到了吗？” ..... 这种情况很蛋疼，那么怎样才能找一个简单的办法，让两个人都确认自己可以听到对方的声音，对方也可以听到自己的声音呢？ 注：以下情节纯属虚构 方案 TCP建立连接为什么是三次握手，而不是两次或四次？ TCP，名为传输控制协议，是一种可靠的传输层协议，IP协议号为6。 顺便说一句，原则上任何数据传输都无法确保绝对可靠，三次握手只是确保可靠的基本需要。 举个日常例子，打电话时我们对话如下： 对应为客户端与服务器之间的通信： 于是有了如下对话： 我：1+1等于几？ 她：2,2+2等于几？ 我：4 首先两个人约定协议 1.感觉网络情况不对的时候，任何一方都可以发起询问 2.任何情况下，若发起询问后5秒还没收到回复，则认为网络不通 3.网络不通的情况下等1min路由器之后再发起询问 对于我而言，发起 “1+1等于几”的询问后 1. 若5s内没有收到回复

listen--监听数量 #include <sys/socket.h> int listen(int sockfd, int backlog); /* backlog指定了该套接口排队的最大连接个数 */ 调用listen导致套接口从CLOSED状态转换到LISTEN状态。 监听窗口维持两个队列(队列的大小与backlog有关)： 未完成队列，每个这样的SYN分节对应一项；已由某个客户发出并到达服务器，而服务器正在等待完成相应的TCP三次握手，此套接口处于SYN_RCVD状态。 完成队列，完成TCP三次握手过程的每一项；该套接口处于ESTABLISHED状态。 问题来了，如何动态的改变listen监听的个数呢？ 　　如果指定值在源代码中是一个常值，那么增长其大小需要重新编译服务器程序。那么，我们可以为它设定一个缺省值，不过允许通过命令行选项或者环境变量来覆写该值。 void Listen(int fd, int backlog) { char *ptr; if((ptr = getenv("LISTENQ")) != NULL) backlog = atoi(ptr); if(listen(fd, backlog) < 0) printf("listen error\n"); } 队列已满的情况，如何处理？ 　　当一个客户SYN到达时，若这个队列是满的，TCP就忽略该分节

原理 SYN foold攻击主要针对tcp通信三次握手期间做的手脚，所以要弄懂这个攻击的原理我们首先必须知道tcp三次握手的详细过程 由上图可知tcp三次握手顾名思义要经过三个步骤，这三个步骤分别是 客户端向服务端发送SYN J（同步信号假设序号为J），相当于通知服务端我要开始建立连接了； 服务端收到客户端的SYN J信号后将发送确认信号ACK J+1和一个新的同步信号SYN K作为回应 客户端收到服务端的回应之后发送最后的确认信号ACK J+1 那我我们重点看第二个步骤：服务端在收到SYN信号后会将ACK信号和新的SYN信号返回给客户端，并将该连接计入半连接队列数目中，当半连接数目大于系统设定的最大值（/proc/sys/net/ipv4/tcp_max_syn_backlog）时系统将不能再接收其他的连接，所以攻击者利用这个原理，在服务器向客户端发送SYN和ACK信号后不做任何回应，这样链接将一直不会被释放，直到累计到链接最大值而不能再创建新的链接，从而达到了让服务器无法响应正常请求的目的。 解决方法 使syncookies生效，将/proc/sys/net/ipv4/tcp_syncookies值置改为1即可，这样即使是半连接队列syn queue已经满了，也可以接收正常的非恶意攻击的客户端的请求， 但是这种方法只在无计可施的情况下使用 ————————————————

tcp/ip协议 TCP/IP（Transmission Control Protocol/Internet Protocol）是一种可靠的网络数据传输控制协议。定义了主机如何连入因特网以及数据如何在他们之间传输的标准。 三次握手协议 所谓三次握手（Three-Way Handshake）即建立TCP连接，就是指建立一个TCP连接时，需要客户端和服务端总共发送3个包以确认连接的建立。 TCP共有6个标志位，分别是： SYN(synchronous),建立联机。 ACK(acknowledgement),确认。 PSH(push),传输。 FIN(finish),结束。 RST(reset),重置。 URG(urgent),紧急。 （1）第一次握手：Client将标志位SYN（同步序列编号）(Synchronize Sequence Numbers)置为1，随机产生一个值seq=J，并将该数据包发送给Server，Client进入SYN_SENT状态，等待Server确认。 （2）第二次握手：Server收到数据包后由标志位SYN=1知道Client请求建立连接，Server将标志位SYN和ACK都置为1，ack=J+1，随机产生一个值seq=K，并将该数据包发送给Client以确认连接请求，Server进入SYN_RCVD状态。 （3）第三次握手：Client收到确认后

文章目录 1.OSI网络七层模型 1.1各层的主要功能 低三层 承上启下作用层 高三层 2.传输控制协议TCP 2.1 TCP握手机制 2.1.1三次握手过程 Ⅰ.为什么需要三次握手，两次不行吗？ Ⅱ.什么是半连接队列？ Ⅲ.ISN(Initial Sequence Number)是固定的吗？ Ⅳ：三次握手过程中可以携带数据吗？ Ⅴ. SYN攻击是什么？ 2.1.2 四次挥手过程 Ⅰ. 挥手为什么需要四次？ Ⅱ.四次挥手释放连接时，等待2MSL的意义? Ⅲ.为什么TIME_WAIT状态需要经过2MSL才能返回到CLOSE状态？ 3.用户数据报协议 UDP 3.1开发应用人员在UDP上构建应用时关注的点 3.2 UDP和TCP比较 3.3什么情况下会用到UDP？ 4.Socket编程 1.OSI网络七层模型 为使不同计算机厂商的计算机能够互相通信，以便在更大的范围内建立计算机网络，有必要建立一个国际范围的网络体系结构标准。 分层的目的：为了让每一层的开发人员、系统设计不需要再关心整个的网络层次。比如说做网线或者光纤的厂商，只需要关心物理层就行。 1.1各层的主要功能 低三层 物理层：使原始的数据比特流能在物理介质上传输。 数据链路层：通过校验、确认、和反馈重发等手段，形成稳定的数据链路（01010101）。 网络层：进行路由选择和流量控制。（IP协议） 承上启下作用层 传输层

vi /etc/sysctl.conf #对于一个新建连接，内核要发送多少个 SYN 连接请求才决定放弃,不应该大于255，默认值是5，对应于180秒左右时间 net.ipv4.tcp_syn_retries=2 #net.ipv4.tcp_synack_retries=2 #表示当keepalive起用的时候，TCP发送keepalive消息的频度。缺省是2小时，改为300秒 net.ipv4.tcp_keepalive_time=1200 net.ipv4.tcp_orphan_retries=3 #表示SYN队列的长度，默认为1024，加大队列长度为8192，可以容纳更多等待连接的网络连接数。 net.ipv4.tcp_max_syn_backlog = 4096 #表示开启SYN Cookies。当出现SYN等待队列溢出时，启用cookies来处理，可防范少量SYN攻击。默认为0，表示关闭 net.ipv4.tcp_syncookies = 1 #表示开启重用tcp连接。允许将TIME-WAIT sockets重新用于新的TCP连接。默认为0，表示关闭 net.ipv4.tcp_tw_reuse = 1 #表示开启TCP连接中TIME-WAIT sockets的快速回收。默认为0，表示关闭 net.ipv4.tcp_tw_recycle = 1

服务器慢了，我一看，压力很大，ping值有1000多ms， netstat - an 有 10000多。 并且有250多个连结处于SYN_RECV状态。 一查才知道，这是典型的SYN攻击的表现。 这还是第一次真正遇到这种情况，之前我一直对攻击不太在意的。没想到还真有这么无聊的。干吗找我们？我们已经是树大招风了？好像还没这么强吧。 没办法，只能看看能否解决这个新难题。 找到这个文章，很不错，转过来： http : //www.csna.cn/viewthread.php?tid=4658 文章中有command 有一些错的地方，可能是排版引起的，注意一下即可。 LINUX下SYN攻防战 ( 一 ) SYN攻击原理 SYN攻击属于DOS攻击的一种 , 它利用TCP协议缺陷 , 通过发送大量的半连接请求 , 耗费服务器CPU和内存资源 . SYN攻击聊了能影响主机外 , 还可以危 害路由器 , 防火墙等网络系统 , 事实上SYN攻击并不管目标是什么系统 , 只要这些系统打开TCP服务就可以实施 . 我们知道 , 在网络中两台电脑建立TCP连接 时需要进行三次握手过程 , 客户端首先向服务器发关TCP SYN数据包 , 接着服务器会向客户端发关相应的SYN ACK数据包 , 最后客户端会以ACK进行响应 . 从而建立正常的握手过程 . 在具体的连接细节中 , 服务器最早接受到SYN包时 ,

TCP握手协议 在TCP/IP协议中,TCP协议提供可靠的连接服务,采用三次握手建立一个连接. 第一次握手：建立连接时,客户端发送syn包(syn=j)到服务器,并进入SYN_SEND状态,等待服务器确认； SYN：同步序列编号(Synchronize Sequence Numbers) 第二次握手：服务器收到syn包,必须确认客户的SYN（ack=j+1）,同时自己也发送一个SYN包（syn=k）,即SYN+ACK包,此时服务器进入SYN_RECV状态； 第三次握手：客户端收到服务器的SYN＋ACK包,向服务器发送确认包ACK(ack=k+1),此包发送完毕,客户端和服务器进入ESTABLISHED状态,完成三次握手. 完成三次握手,客户端与服务器开始传送数据 A与B建立TCP连接时：首先A向B发SYN（同步请求），然后B回复SYN搜索+ACK（同步请求应答），最后A回复ACK确认，这样TCP的一次连接（三次握手）的过程就建立了！ 一、TCP报文格式 TCP/IP协议的详细信息参看《TCP/IP协议详解》三卷本。下面是TCP报文格式图： 图1 TCP报文格式 上图中有几个字段需要重点介绍下： （1）序号：Seq序号，占32位，用来标识从TCP源端向目的端发送的字节流，发起方发送数据时对此进行标记。 （2）确认序号：Ack序号，占32位，只有ACK标志位为1时，确认序号字段才有效

1 什么是SYN Flood攻击 　　在TCP三次握手时，服务器接收客户端的SYN请求，操作系统将为该请求分配一个TCP（Transmission Control Block），服务器返回一个SYN/ACK请求，并将处于SYN_RCVD状态（半开连接状态）。 　　从以上过程可以看到，如果恶意的向某个服务器端口发送大量的SYN包，则可以使服务器打开大量的半开连接，分配TCB，从而消耗大量的服务器资源，同时也使得正常的连接请求无法被相应。而攻击发起方的资源消耗相比较可忽略不计。 　　SYN Flood是当前最流行的DoS（拒绝服务攻击）与DDoS（分布式拒绝服务攻击）的方式之一。 2 怎样发现自己处于被攻击状态 　　（1）服务端无法提供正常的TCP服务。连接请求被拒绝或超时； 　　（2）通过 netstat -an 命令检查系统，发现有大量的SYN_RECV连接状态。　　 3 防御措施 　　（1）使用TCP Wrapper，服务端只处理有限来源IP的TCP连接请求，其它未指定来源的连接请求一概拒绝。 　　（2）缩短SYN Timeout时间，由于SYN Flood攻击的效果取决于服务器上保持的SYN半连接数，这个值=SYN攻击的频度 x SYN Timeout，所以通过缩短从接收到SYN报文到确定这个报文无效并丢弃改连接的时间，例如设置为20秒以下（过低的SYN