why
- SYNC FLOOD
SYNC FLOOD 就是在 TCP 三次握手过程中,发送给服务器海量的 sync 包,不应答服务
器返回的 ACK。客户端可以简单的不发送对应的 ACK,也可以伪装 SYN 发送的 ip 地址,
将其设置为不存在的 ip,比如内网 ip,这样服务器发送的 SYN/ACK 永远都得不到回应。
这样服务器就需要维护海量的 半开连接 ,等待客户端的 ACK, 最终导致服务器资源耗
尽(sync queue 满)而丢弃新的连接。
实现
要创建一个新的 tcp 连接,client 端必须发送一个 TCP SYN 包给服务器,服务器返回一
个 TCP SYN/ACK 报文,这个报文中的一个参数是 序列号,用来重新拼接数据流。根据
TCP 协议,这个序列号可以由服务器端任意决定。 SYNC COOKIES 就是这个序列号的一
个特殊实现
* 初始 5 位: t mod 32,t 是时间戳
* 接下 3 位: mss 的编码值
* 最后 24 位: 服务器 Port/ip,客户端 Port/ip 值的 hash
客户端收到这个序列号 n 之后,发送 n + 1 给服务器,服务器通过 n 来比对 sync
cookie
在开启了 sync cookie 的情况下,sync queue 满了的时候,连接再也不被丢掉,而是直
接返回相应的 SYN/ACK 报文,看起来就像 sync queue 增大了一样。
sync cookie 防火墙
对于防火墙来说,它可以开启 sync cookie 的功能。此时 client 的三次握手是和防火墙
进行的,防火墙相当于起到了一个检验 client 的功能。client 通过验证之后,防火墙主
动和 server 端进行三次握手的连接的初始化过程。Junos 的相关文档在此
