tcp三次握手四次揮手
TCP狀態(tài)圖
TCP狀態(tài)時序圖
tcp三次握手
流程圖:
client | | server
SYN_SEND | --> SYN(seq=x) --> | LISTEN
| <-- SYN(seq=y),ACK(seq=x+1) <-- | SYN_RECV
ESTABLESHED | --> ACK(seq=y+1) --> | ESTABLESHED
TCP握手狀態(tài)說明:
TCP_SEND 發(fā)起TCP連接請求,發(fā)送SYN省店,等待服務(wù)器確認(rèn)
TCP_RECV 介紹TCP連接請求,并回復(fù)ACK及SYN最岗,等待客戶端確認(rèn)
ESTABLESHED 建立TCP連接
SYN攻擊
服務(wù)端在收到SYN,回復(fù)SYN+ACK后凹炸,TCP為TCP_RECV連接狀態(tài)况既,有一個等待對方ACK的重連超時機制
攻擊者利用這種機制碍讯,通過偽造大量不存在的IP給服務(wù)器發(fā)送SYN,導(dǎo)致服務(wù)器有大量TCP連接停留在TCP_RECV狀態(tài)员舵,得不到客戶端ACK的確認(rèn)脑沿。服務(wù)器需要不斷的重發(fā)至超時,這些偽造TCP連接長期占用TCP未連接隊列马僻,導(dǎo)致正常的SYN請求被丟棄庄拇,服務(wù)器運行緩慢,嚴(yán)重者引發(fā)堵塞甚至系統(tǒng)癱瘓韭邓。
SYN攻擊是典型的Ddos攻擊丛忆。檢查SYN攻擊非常方便,但服務(wù)器出現(xiàn)大量TCP_RECV狀態(tài)時仍秤,特別是源IP地址隨機熄诡,基本上可以判定這是一次SYN攻擊
linux下可以同如下命令檢測
ss -at |awk '{++s[$1]} END {for(i in s)print i,\t,s[i]}'
TCP握手內(nèi)核相關(guān)參數(shù)
表示SYN隊列的長度,默認(rèn)為1024
net.ipv4.tcp_max_syn_backlog
syn-ack握手狀態(tài)重試次數(shù)诗力,默認(rèn)5
net.ipv4.tcp_synack_retries
對于一個新建連接凰浮,內(nèi)核要發(fā)送多少個 SYN 連接請求才決定放棄。不應(yīng)該大于255苇本,默認(rèn)值是5袜茧,對應(yīng)于180秒左右。
net.ipv4.tcp_syn_retries
使用 Selective ACK瓣窄,管理TCP的選擇性應(yīng)答笛厦,允許接收端向發(fā)送端傳遞關(guān)于字節(jié)流中丟失的序列號,減少了段丟失時需要重傳的段數(shù)目俺夕,當(dāng)段丟失頻繁時裳凸,sack是很有益的贱鄙。(這可以通過有選擇地應(yīng)答亂序接收到的報文來提高性能(這樣可以讓發(fā)送者只發(fā)送丟失的報文段)。(對于廣域網(wǎng)通信來說這個選項應(yīng)該啟用姨谷,但是這會增加對 CPU 的占用逗宁。)
net.ipv4.tcp_sack
表示開啟SYN Cookies。當(dāng)出現(xiàn)SYN等待隊列溢出時梦湘,啟用cookies來處理瞎颗,可防范少量SYN攻擊,默認(rèn)為1捌议,表示開啟的哼拔;
net.ipv4.tcp_syncookies
設(shè)置tcp/ip會話的滑動窗口大小是否可變。參數(shù)值為布爾值瓣颅,為1時表示可變倦逐,為0時表示不可變。tcp/ip通常使用的窗口最大可達(dá)到 65535 字節(jié)弄捕,對于高速網(wǎng)絡(luò),該值可能太小导帝,這時候如果啟用了該功能守谓,可以使tcp/ip滑動窗口大小增大數(shù)個數(shù)量級,從而提高數(shù)據(jù)傳輸?shù)哪芰?br> net.ipv4.tcp_window_scaling
TCP四次揮手
主動關(guān)閉端 | | 被動關(guān)閉端
FIN_WAIT1 | --> FIN(seq=j) --> | ESTABLESHED
FIN_WAIT2 | <-- ACK(seq=j+1) <-- | CLOST_WAIT
TIME_WAIT | <-- FIN(sqe=k) <-- | LAST_ACK
CLOSED/timeout| --> ACK(seq=k+1) --> | CLOSED
狀態(tài)說明
FIN_WAIT1 主動關(guān)閉端發(fā)起關(guān)閉TCP連接您单,發(fā)送FIN斋荞,等待對端確認(rèn),表示主動端沒有數(shù)據(jù)發(fā)送虐秦,但可以接受數(shù)據(jù)
CLOST_WAIT 被動關(guān)閉端接受對端的FIN平酿,并做ACK回復(fù),等待本機數(shù)據(jù)發(fā)送完成悦陋,如果自己還要數(shù)據(jù)沒發(fā)送完成蜈彼,還可以繼續(xù)發(fā)送數(shù)據(jù),但不會接收數(shù)據(jù)
FIN_WAIT2 主動關(guān)閉端接受到對端的FIN確認(rèn)包ACK俺驶,等待對端發(fā)送FIN
LAST_ACK 被動關(guān)閉端發(fā)送FIN幸逆,等待對端FIN確認(rèn)
TIME_WAIT 主動關(guān)閉端接受對端的FIN,且回復(fù)ACK后暮现,等待2個MSL还绘,沒有接受到對端的數(shù)據(jù),就變成CLOSED狀態(tài)
CLOSED TCP連接關(guān)閉
TCP揮手內(nèi)核相關(guān)參數(shù)
表示開啟重用栖袋。允許將TIME-WAIT sockets重新用于新的TCP連接拍顷,默認(rèn)為0,表示關(guān)閉塘幅;客戶端是nat環(huán)境或者服務(wù)器在nat環(huán)境昔案,最好不要開啟
net.ipv4.tcp_tw_reuse
表示開啟TCP連接中TIME-WAIT sockets的快速回收尿贫,默認(rèn)為0,表示關(guān)閉爱沟∷客戶端是nat環(huán)境或者服務(wù)器在nat環(huán)境,最好不要開啟
net.ipv4.tcp_tw_recycle
表示系統(tǒng)同時保持TIME_WAIT的最大數(shù)量呼伸,如果超過這個數(shù)字身冀,TIME_WAIT將立刻被清除并打印警告信息。
net.ipv4.tcp_max_tw_buckets
表示如果套接字由本端要求關(guān)閉括享,這個參數(shù)決定了它保持在FIN-WAIT-2狀態(tài)的時間
net.ipv4.tcp_fin_timeout
常用的三種TCP狀態(tài)
SYN_RECV
服務(wù)器收到SYN包后搂根,返回ACK+SYN包,但沒有收到ACK包時的狀態(tài)為SYN_RECV
內(nèi)核中相關(guān)參數(shù)
net.ipv4.tcp_syn_retries
net.ipv4.tcp_syncookies
CLOSE_WAIT
被動關(guān)閉端收到FIN后铃辖,沒有回復(fù)ACK包的時候為CLOSE_WAIT剩愧。一般是程序代碼問題導(dǎo)致
TIME_WAIT
主動關(guān)閉端收到對方的FIN,并且回復(fù)ACK后娇斩,狀態(tài)為TIME_WAIT仁卷,狀態(tài)持續(xù)2個MSL時間后socket會被回收。
TIME_WAIT狀態(tài)的socket是不能被回收的犬第。服務(wù)器一般處理大量的短連接锦积,服務(wù)端主動關(guān)閉連接,會出現(xiàn)大量的TIME_WAIT歉嗓。嚴(yán)重會影響服務(wù)器的處理能力
內(nèi)核相關(guān)參數(shù)調(diào)優(yōu)
net.ipv4.tcp_tw_recycle
net.ipv4.tcp_tw_reuse
net.ipv4.tcp_fin_timeout
net.ipv4.tcp_max_tw_buckets