### SYN-cookie 技术及其原理
#### 一、SYN Flood 攻击简介
SYN Flood 是一种常见的分布式拒绝服务(DDoS)攻击方式之一,通过向目标服务器发送大量伪造源地址的 TCP SYN 请求包来消耗服务器资源。正常情况下,服务器会为每一个 TCP 连接请求分配内存空间并发送一个 SYN+ACK 响应,等待客户端确认以完成三次握手。然而,攻击者并不会完成三次握手的过程,导致服务器上留下大量未完成的半连接,从而耗尽服务器资源。
#### 二、SYN-cookie 技术详解
为了有效防御 SYN Flood 攻击,提出了 SYN-cookie 技术。该技术的核心在于改变传统 TCP 连接建立过程中的资源分配策略,避免在连接信息未完全到达之前分配资源。
##### 1. SYN-cookie 工作流程
- **初始化阶段**:当服务器接收到一个 TCP SYN 请求包时,不会立即分配内存空间,而是根据连接请求信息生成一个 cookie。
- **计算 cookie**:使用消息摘要算法 MAC 来生成一个包含客户端 IP 地址、端口号、服务器端口等信息的消息摘要。
- **构造 SYN+ACK 包**:将计算得到的 cookie 的一部分放入即将发送的 SYN+ACK 包的序列号字段中。
- **客户端响应**:客户端收到 SYN+ACK 包后,发送 ACK 包作为响应。
- **验证 cookie**:服务器接收到 ACK 包后,重新计算 cookie 并与 ACK 包中的序列号前 24 位进行比较,若一致,则视为合法连接并继续进行资源分配。
##### 2. cookie 的计算
- **消息摘要 mac 的生成**:使用服务器端持有的私钥 k 和连接请求信息 A 经过 MAC 函数计算得出。
- **连接请求信息 A**:由客户端 IP 地址、端口号、服务器端 IP 地址、端口号及时间参数 t 组成。
- **时间参数 t**:32 位长的时间计数器,每 64 秒增加一次。
- **cookie 的生成**:取 mac 的前 24 位作为 cookie 的值。
#### 三、SYN-cookie 技术的优点与局限
- **优点**:
- 避免了资源的预先分配,降低了资源消耗。
- 不需要在服务器端保存任何连接状态信息,减少了内存占用。
- **局限性**:
- 增加了连接建立的延迟时间。
- 损失了部分 TCP 协议的功能,例如超时重传机制。
- 在极端情况下可能成为另一种拒绝服务攻击的目标。
### 地址状态监控技术
#### 四、地址状态监控原理
除了 SYN-cookie 技术外,还可以通过监控网络中的 TCP 连接数据包并跟踪源地址的状态来抵御 SYN Flood 攻击。这种方法通过对不同状态的源地址采取不同的处理措施来确保服务器的安全。
#### 五、地址状态的分类
- **初态**:所有源地址的默认状态。
- **NEW 状态**:对于首次出现的源地址或无法确定其存在性的源地址。
- **GOOD 状态**:确认存在且正常的源地址。
- **BAD 状态**:已知无效或不可达的源地址。
#### 六、状态转换逻辑
- **监听到 SYN 包**:如果源地址处于 NEW 或 BAD 状态,则将 RST 位设为 1 并重新发送;如果是 GOOD 状态,则不做处理。
- **监听到 ACK 或 RST 包**:如果源地址为 NEW 状态,则转为 GOOD 状态;如果是 GOOD 状态则保持不变;如果是 BAD 状态,则转为 NEW 状态。
- **监听到服务器的 SYN+ACK 包**:表明服务器已为连接请求建立了半连接,为防止半连接过多,可发送 ACK 包建立完整连接,并启动计时器。若计时器超时而未收到 ACK 包,则认为源地址存在问题。
#### 七、总结
SYN-cookie 技术和地址状态监控技术都是有效应对 SYN Flood 攻击的方法。这两种技术各有优缺点,可以根据实际应用场景选择合适的技术方案,或者结合使用以增强防护效果。在实际部署中,通常还会结合其他防御措施,如防火墙规则、流量清洗等,以构建多层次的安全防护体系。
