免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
论坛 程序设计 内核源码 Syn Cookie问题
12下一页
最近访问板块 发新帖
查看: 3050 | 回复: 14
打印 上一主题 下一主题

Syn Cookie问题 [复制链接]

shabinbin870808

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2010-01-19 10:02 |只看该作者 |正序浏览
syn cookie下大量的SYN+ACK会带来什么问题?如何解决?
内核2.6.18的syn cookie实现,算法效率如何?

大家来讨论下...
Godbach

论坛徽章:
36
IT运维版块每日发帖之星 日期:2016-04-10 06:20:00IT运维版块每日发帖之星 日期:2016-04-16 06:20:0015-16赛季CBA联赛之广东 日期:2016-04-16 19:59:32IT运维版块每日发帖之星 日期:2016-04-18 06:20:00IT运维版块每日发帖之星 日期:2016-04-19 06:20:00每日论坛发贴之星 日期:2016-04-19 06:20:00IT运维版块每日发帖之星 日期:2016-04-25 06:20:00IT运维版块每日发帖之星 日期:2016-05-06 06:20:00IT运维版块每日发帖之星 日期:2016-05-08 06:20:00IT运维版块每日发帖之星 日期:2016-05-13 06:20:00IT运维版块每日发帖之星 日期:2016-05-28 06:20:00每日论坛发贴之星 日期:2016-05-28 06:20:00
15 [报告]
发表于 2010-01-20 23:55 |只看该作者
可以使用累积校验和算法

这个算法是个怎么实现啊,搜了一下,没找到。。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
独孤九贱

论坛徽章:
0
14 [报告]
发表于 2010-01-20 20:59 |只看该作者
原帖由 Godbach 于 2010-1-20 16:15 发表

那前提就是先判断好是否发生了攻击


这个是自然,可以简单的阀值判断就行了吧?要专业点,可以使用累积校验和算法.
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
Godbach

论坛徽章:
36
IT运维版块每日发帖之星 日期:2016-04-10 06:20:00IT运维版块每日发帖之星 日期:2016-04-16 06:20:0015-16赛季CBA联赛之广东 日期:2016-04-16 19:59:32IT运维版块每日发帖之星 日期:2016-04-18 06:20:00IT运维版块每日发帖之星 日期:2016-04-19 06:20:00每日论坛发贴之星 日期:2016-04-19 06:20:00IT运维版块每日发帖之星 日期:2016-04-25 06:20:00IT运维版块每日发帖之星 日期:2016-05-06 06:20:00IT运维版块每日发帖之星 日期:2016-05-08 06:20:00IT运维版块每日发帖之星 日期:2016-05-13 06:20:00IT运维版块每日发帖之星 日期:2016-05-28 06:20:00每日论坛发贴之星 日期:2016-05-28 06:20:00
13 [报告]
发表于 2010-01-20 16:15 |只看该作者
好像没有完美的解决方案,但是基于“因为在攻击发生时,绝大部份的报文都是攻击包,是没有必要进行cookie回应的”这一原理,还是可以做一些优化。

那前提就是先判断好是否发生了攻击
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
独孤九贱

论坛徽章:
0
12 [报告]
发表于 2010-01-20 15:59 |只看该作者
关于ack+syn的应答,在攻击流量大的情况上,会产生相应数量的应答包,这对于服务器自身CPU、网卡和总线、上行带宽以及上行路由器等,都是严重的挑战。
举个例子,服务器自身资源的消耗:一个服务器可以处理80Mbps的syn,因为大量的ack+syn,这个值可能会降到40-50Mbps。

好像没有完美的解决方案,但是基于“因为在攻击发生时,绝大部份的报文都是攻击包,是没有必要进行cookie回应的”这一原理,还是可以做一些优化。

举个最笨的例子:可以随机丢弃6成的请求包文,并记录之,利用tcp超时重传,有第二次sny来,则构建cookie应答之。同时可以再把已经验证OK的请求地址统计出来,以方便下次不会被随机丢弃。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
烟雾弹下的真实

论坛徽章:
0
11 [报告]
发表于 2010-01-20 09:06 |只看该作者
那现在防SYN,在修改内核上有没有什么可取的地方呢?
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
platinum

论坛徽章:
0
10 [报告]
发表于 2010-01-19 21:31 |只看该作者
原帖由 Godbach 于 2010-1-19 11:05 发表


如果占用带宽过多,是不是算是影响设备的正常工作了。记得之前讨论的时候,九贱兄提到做syn cookie的时候,ack包过多也是要考虑的

这不是 syn-flooding 的讨论范畴
任何一种数据都有可能塞满整个带宽
单纯 syn/ack 仅仅 46 字节(IP 层),能充满整个线路,pps 也够多的了
但是,任何一种数据,包括 udp,只要往链路里塞,你也没办法不是?
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
ubuntuer

论坛徽章:
0
9 [报告]
发表于 2010-01-19 12:53 |只看该作者
这个最好的还是自己来继续完善syncookie
收到ack时判断ack的合法性
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
shabinbin870808

论坛徽章:
0
8 [报告]
发表于 2010-01-19 11:10 |只看该作者

回复 #7 Godbach 的帖子

我也这么认为,大量的syn+ack会占用出口带宽,也就可能影响服务了。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
Godbach

论坛徽章:
36
IT运维版块每日发帖之星 日期:2016-04-10 06:20:00IT运维版块每日发帖之星 日期:2016-04-16 06:20:0015-16赛季CBA联赛之广东 日期:2016-04-16 19:59:32IT运维版块每日发帖之星 日期:2016-04-18 06:20:00IT运维版块每日发帖之星 日期:2016-04-19 06:20:00每日论坛发贴之星 日期:2016-04-19 06:20:00IT运维版块每日发帖之星 日期:2016-04-25 06:20:00IT运维版块每日发帖之星 日期:2016-05-06 06:20:00IT运维版块每日发帖之星 日期:2016-05-08 06:20:00IT运维版块每日发帖之星 日期:2016-05-13 06:20:00IT运维版块每日发帖之星 日期:2016-05-28 06:20:00每日论坛发贴之星 日期:2016-05-28 06:20:00
7 [报告]
发表于 2010-01-19 11:05 |只看该作者
理论上不会形成攻击,不会占用 socket,只是占用带宽而已


如果占用带宽过多,是不是算是影响设备的正常工作了。记得之前讨论的时候,九贱兄提到做syn cookie的时候,ack包过多也是要考虑的
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
12下一页
返回列表 发新帖
  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP