2018年9月18日 星期二

SYN cookies 機制下連接的建立

From: http://blog.csdn.net/justlinux2010/article/details/12619761 


在正常情況下,服務器端接收到客戶端發送的SYN包,會分配一個
連接請求塊(即request_sock結構),用於保存連接請求信息,並且發送SYN+ACK包給客戶端,然後將連接請求塊添加到半連接隊列中。客戶端接收到SYN+ACK包後,會發送ACK包對服務器端的包進行確認。服務器端收到客戶端的確認後,根據保存的連接信息,構建一個新的連接,放到監聽套接字的連接隊列中,等待用戶層accept連接。這是正常的情況,但是在並發過高或者遭受SYN flood攻擊的情況下,半連接隊列的槽位數量很快就會耗盡,會導致丟棄新的連接請求,SYN cookies技術可以使服務器在半連接隊列已滿的情況下仍能處理新的SYN請求
      如果開啟了SYN cookies選項,在半連接隊列滿時,SYN cookies並不丟棄SYN請求,而是將源目的IP、源目的端口號、接收到的客戶端初始序列號以及其他一些安全數值等信息進行hash運算,並加密後得到服務器端的初始序列號,稱之為cookie服務器端在發送初始序列號為cookie的SYN+ACK包後,會將分配的連接請求塊釋放。如果接收到客戶端的ACK包,服務器端將客戶端的ACK序列號減1得到的值,與上述要素hash運算得到的值比較,如果相等,直接完成三次握手,構建新的連接。YN cookies機制的核心就是避免攻擊造成的大量構造無用的連接請求塊,導致內存耗盡,而無法處理正常的連接請求
      啟用SYN cookies是通過在啟動環境中設置以下命令完成:
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
      注意,開啟該機制並不意味著所有的連接都是使用SYN cookies機制來完成連接的建立只有在半連接隊列已滿情況下才會觸發 SYN cookies機制由於SYN cookies機制嚴重違背TCP協議不允許使用TCP擴展,可能對某些服務造成嚴重的性能影響(如SMTP轉發),對於防禦SYN flood攻擊的確有效。對於沒有受到攻擊的高負載服務器,不要開啟此選項,可以通過修改tcp_max_syn_backlogtcp_synack_retriestcp_abort_on_overflow系統參數來調節。
      下面來看看內核中是怎麼通過SYN cookie機制來完成連接的建立。
      客戶端的連接請求由tcp_v4_conn_request()函數處理。tcp_v4_conn_request()中有一個局部變量want_cookie,用來標識是否使用SYN cookies機制。want_cookie的初始值為0,如果半連接隊列已滿,並且開啟了tcp_syncookies系統參數,則將其值設置為1,如下所示:
int tcp_v4_conn_request(struct sock *sk, struct sk_buff *skb)
{
#ifdef CONFIG_SYN_COOKIES
    int want_cookie = 0;
#else
#define want_cookie 0 /* Argh, why doesn't gcc optimize this :( */
#endif 
... 
    /* TW buckets are converted to open requests without
     * limitations, they conserve resources and peer is
     * evidently real one.
     */
      if (inet_csk_reqsk_queue_is_full(sk) && !isn) {
#ifdef CONFIG_SYN_COOKIES
             if (sysctl_tcp_syncookies) {
            want_cookie = 1;
        } else
#endif       
        goto drop;
    } 
... 
drop:
    return 0;
}
      如果沒有開啟SYN cookies機制,在半連接隊列滿時,會跳轉到drop處,返回0 。在調用tcp_v4_conn_request()的tcp_rcv_state_process()中會直接釋放SKB包。
      我們前面提到過,造成半連接隊列滿有兩種情況(不考慮半連接隊列很小的情況),一種是負載過高,正常的連接數過多;另一種是SYN flood攻擊。如果是第一種情況,此時是否繼續構建連接,則要取決於連接隊列的情況及半連接隊列的重傳情況,如下所示:
if (sk_acceptq_is_full(sk) && inet_csk_reqsk_queue_young(sk) > 1)
        goto drop;
      sk_acceptq_is_full()函數很好理解,根據字面意思就可以看出,該函數是檢查連接隊列是否已滿。inet_csk_reqsk_queue_young()函數返回的是半連接隊列中未重傳過SYN+ACK段的連接請求塊數量。如果連接隊列已滿並且半連接隊列中的連接請求塊中未重傳的數量大於1,則會跳轉到drop處,丟棄SYN包。如果半連接隊列中未重傳的請求塊數量大於1,則表示未來可能有2個完成的連接,這些新完成的連接要放到連接隊列中,但此時連接隊列已滿。如果在接收到三次握手中最後的ACK後連接隊列中沒有空閒的位置,會忽略接收到的ACK包,連接建立會推遲,所以此時最好丟掉部分新的連接請求,空出資源以完成正在進行的連接建立過程。還要注意,這個判斷並沒有考慮半連接隊列是否已滿的問題。從這裡可以看出,即使開啟了SYN cookies機制並不意味著一定可以完成連接的建立
      如果可以繼續連接的建立,調用inet_reqsk_alloc()分配連接請求塊,如下所示:
req = inet_reqsk_alloc(&tcp_request_sock_ops);
    if (!req)
        goto drop;
      看到這裡可能就有人疑惑,既然開啟了SYN cookies機制,仍然分配連接請求塊,那和正常的連接構建也沒有什麼區別了。這里之所以要分配連接請求塊是用於發送SYN+ACK包給客戶端,發送後會釋放掉,並不會加入到半連接隊列中。
      接下來就是計算cookie的值,由cookie_v4_init_sequence()函數完成,如下所示:
if (want_cookie) {
#ifdef CONFIG_SYN_COOKIES
        syn_flood_warning(skb);
        req->cookie_ts = tmp_opt.tstamp_ok;
#endif
        isn = cookie_v4_init_sequence(sk, skb, &req->mss);
    }
      計算得到的cookie 值會保存在連接請求塊tcp_request_sock 結構的snt_isn 成員中,接著會調用__tcp_v4_send_synack() 函數發送SYN+ACK 包,然後釋放前面分配的連接請求塊,如下所示:
if (__tcp_v4_send_synack(sk, req, dst) || want_cookie)
        goto drop_and_free;
      在服務器端發送完SYN+ACK包後,我們看到在服務器端沒有保存任何關於這個未完成連接的信息,所以在接收到客戶端的ACK包後,只能根據前面發送的SYN+ACK包中的cookie值來決定是否繼續構建連接。
      我們接下來看接收到ACK包後的處理情況。ACK包在tcp_v4_do_rcv()函數中調用的tcp_v4_hnd_req()中處理,如下所示:
static struct sock *tcp_v4_hnd_req(struct sock *sk, struct sk_buff *skb)
{
    ... 
#ifdef CONFIG_SYN_COOKIES
    if (!th->rst && !th->syn && th->ack)
        sk = cookie_v4_check(sk, skb, &(IPCB(skb)->opt));
#endif
    return sk;
}
      由於在服務器端沒有保存未完成連接的信息,所以在半連接隊列或ehash 散列表中都不會找到對應的sock 結構。如果開啟了SYN cookies 機制,則會檢查接收到的數據包是否是ACK 包,如果是,在cookie_v4_check() 中會調用cookie_check() 函數檢查ACK 包中的cookie 值是否有效。如果有效,則會分配request_sock 結構,並根據ACK 包初始化相應的成員,開始構建描述連接的sock 結構。創建過程和正常的連接創建過程一樣。
      問題就出在TCP連接的三次握手中,假設一個用戶向服務器發送了SYN報文後突然死機或掉線,那麼服務器在發出SYN,ACK應答報文後,是無法收到客戶端的ACK報文的(第三次握手無法完成),這種情況下服務器端一般會重試(再次發送SYN,ACK給客戶端),並在等待一段時間後丟棄這個未完成的連接,這段時間的長度我們稱為SYN Timeout一般來說這個時間是分鐘的數量級(大約為30秒~ 2分鐘);一個用戶出現異常導致服務器的一個線程等待1分鐘並不是什麼很大的問題,但如果有一個惡意的攻擊者大量模擬這種情況,服務器端將為了維護一個非常大的半連接列表而消耗非常多的資源-- 數以萬計的半連接,即使是簡單的保存並遍歷也會消耗非常多的CPU時間和內存,何況還要不斷對這個列表中的IP進行SYN,ACK重試實際上如果服務器的TCP/IP棧不夠強大,最後的結果往往是堆棧溢出崩潰--即使服務器端的系統足夠強大,服務器端也將忙於處理攻擊者偽造的TCP連接請求而無暇理睬客戶的正常請求(畢竟客戶端的正常請求比率非常之小),此時從正常客戶的角度看來,服務器失去響應,這種情況我們稱作:服務器端受到了SYN Flood攻擊(SYN洪水攻擊)。 
從防禦角度來說,有幾種簡單的解決方法,
  • 第一種是縮短SYN Timeout時間由於SYN Flood攻擊的效果取決於服務器上保持的SYN半連接數,而SYN半連接數= SYN攻擊頻度* SYN Timeout ,所以通過縮短從接收到SYN報文,到確定該報文無效並丟棄該連接的時間,可以成倍的降低服務器的負荷。例如設置為20秒以下(過低的SYN Timeout設置可能會影響客戶的正常訪問)。
  • 第二種方法是設置SYN Cookie就是給每一個請求連接的IP地址分配一個Cookie ,如果短時間內連續收到來自某個IP的重複SYN報文,就認定是受到了攻擊,以後從這個IP地址來的包會被一概丟棄。
      可是,上述的兩種方法只能對付比較原始的SYN Flood攻擊,縮短SYN Timeout時間僅在對方攻擊頻度不高的情況下生效;而SYN Cookie更依賴於對方使用真實的IP地址。如果攻擊者以數万/秒的速度發送SYN報文,同時利用SOCK_RAW隨機改寫IP報文中的源地址,以上的方法將毫無用武之地。
      一般來說,如果一個系統(或主機)負荷突然升高甚至失去響應,使用netstat命令能看到大量SYN_RCVD的半連接(數量>500或占總連接數的10%以上),可以認定,這個系統(或主機)遭到了SYN Flood攻擊。
      遭到SYN Flood攻擊後,首先要做的是取證,通過netstat –natp >result.txt記錄目前所有TCP連接狀態是必要的,如果有嗅探器,或者tcpdump之類的工具,記錄TCP SYN報文的所有細節也有助於以後追查和防禦,需要記錄的字段有:源地址、IP首部中的標識、TCP首部中的序列號、TTL值等,這些信息雖然很可能是攻擊者偽造的,但是用來分析攻擊者的心理狀態和攻擊程序也不無幫助。特別是TTL值,如果大量的攻擊包似乎來自不同的IP但是TTL值卻相同,我們往往能推斷出攻擊者與我們之間的路由器距離,至少也可以通過過濾特定TTL值的報文降低被攻擊系統的負荷(在這種情況下TTL值與攻擊報文不同的用戶就可以恢復正常訪問)
到目前為止,能夠有效防範SYN Flood攻擊的手段並不多,而SYN Cookie就是其中最著名的一種。

syn flood攻擊代碼:
http://www.cnblogs.com/rollenholt/articles/2590970.html 
http://rshell.blog.163.com/blog/static/416191702007923999492/ 
https://github.com/polyrabbit/ tcp-syn-flood

沒有留言:

張貼留言

How to repair and clone disk with ddrescue

  ddrescue  is a tool that can be used to repair and clone disks on a  Linux system . This includes hard drives, partitions, DVD discs, flas...