在正常情况下,服务器端接收到客户端发送的 SYN 包,会分配一个连接请求块(即 request_sock 结构),用于保存连接请求信息,并且发送 SYN+ACK 包给客户端,然后将连接请求块添加到半连接队列中。客户端接收到 SYN+ACK 包后,会发送 ACK包 对服务器端的包进行确认。服务器端收到客户端的确认后,根据保存的连接信息,构建一个新的连接,放到监听套接字的连接队列中,等待用户层 accept 连接。这是正常的情况,但是在并发过高或者遭受 SYN flood 攻击的情况下,半连接队列的槽位数量很快就会耗尽,会导致丢弃新的连接请求,SYN cookies 技术可以使服务器在半连接队列已满的情况下仍能处理新的 SYN 请求。
如果开启了 SYN cookies 选项,在半连接队列满时,SYN cookies 并不丢弃 SYN 请求,而是将源目的 IP、源目的端口号、接收到的客户端初始序列号以及其他一些安全数值等信息进行 hash 运算,并加密后得到服务器端的初始序列号,称之为 cookie 。服务器端在发送初始序列号为 cookie 的 SYN+ACK 包后,会将分配的连接请求块释放。如果接收到客户端的 ACK 包,服务器端将客户端的 ACK 序列号减 1 得到的值,与上述要素 hash 运算得到的值比较,如果相等,直接完成三次握手,构建新的连接。SYN cookies 机制的核心就是避免攻击造成的大量构造无用的连接请求块,导致内存耗尽,而无法处理正常的连接请求。
启用 SYN cookies 是通过在启动环境中设置以下命令完成:
echo 1 > /proc/sys/net/ipv4/tcp_syncookies下面来看看内核中是怎么通过 SYN cookie 机制来完成连接的建立。
客户端的连接请求由 tcp_v4_conn_request() 函数处理。tcp_v4_conn_request() 中有一个局部变量 want_cookie,用来标识是否使用 SYN cookies 机制。want_cookie 的初始值为 0,如果半连接队列已满,并且开启了 tcp_syncookies 系统参数,则将其值设置为 1,如下所示:
int tcp_v4_conn_request(struct sock *sk, struct sk_buff *skb)
{
#ifdef CONFIG_SYN_COOKIES
int want_cookie = 0;
#else
#define want_cookie 0 /* Argh, why doesn't gcc optimize this :( */
#endif
......
/* TW buckets are converted to open requests without
* limitations, they conserve resources and peer is
* evidently real one.
*/
if (inet_csk_reqsk_queue_is_full(sk) && !isn) {
#ifdef CONFIG_SYN_COOKIES
if (sysctl_tcp_syncookies) {
want_cookie = 1;
} else
#endif
goto drop;
}
......
drop:
return 0;
}我们前面提到过,造成半连接队列满有两种情况(不考虑半连接队列很小的情况),一种是负载过高,正常的连接数过多;另一种是 SYN flood 攻击。如果是第一种情况,此时是否继续构建连接,则要取决于连接队列的情况及半连接队列的重传情况,如下所示:
if (sk_acceptq_is_full(sk) && inet_csk_reqsk_queue_young(sk) > 1)
goto drop;如果可以继续连接的建立,调用 inet_reqsk_alloc() 分配连接请求块,如下所示:
req = inet_reqsk_alloc(&tcp_request_sock_ops);
if (!req)
goto drop;接下来就是计算 cookie 的值,由 cookie_v4_init_sequence() 函数完成,如下所示:
if (want_cookie) {
#ifdef CONFIG_SYN_COOKIES
syn_flood_warning(skb);
req->cookie_ts = tmp_opt.tstamp_ok;
#endif
isn = cookie_v4_init_sequence(sk, skb, &req->mss);
}if (__tcp_v4_send_synack(sk, req, dst) || want_cookie)
goto drop_and_free;我们接下来看接收到 ACK 包后的处理情况。ACK 包在 tcp_v4_do_rcv() 函数中调用的 tcp_v4_hnd_req() 中处理,如下所示:
static struct sock *tcp_v4_hnd_req(struct sock *sk, struct sk_buff *skb)
{
......
#ifdef CONFIG_SYN_COOKIES
if (!th->rst && !th->syn && th->ack)
sk = cookie_v4_check(sk, skb, &(IPCB(skb)->opt));
#endif
return sk;
}
