论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2009-08-25 17:04 |只看该作者 |倒序浏览

经过两个月的努力终于在 linux2.6.23下完成了syn cookie防火墙，不过毕竟是新手，代码质量不敢保证，其中参考了两个开源项目一个是 TCP splicing 还有一个 syn cookie firewall。

大致方法如下：

1.使用哈希表进行连接信息的记录。

2.由于考虑模块特性以及对NAT的支持（为了支持NAT还提取了连接跟踪表中的内容，记录在自己的哈希表中），定义了两个钩子NF_IP_PRE_ROUTING出和NF_IP_POST_ROUTING处，优先级分别为NF_IP_PRI_FIRST和NF_IP_PRI_LAST

3. cookie算法未作改动，由内核里直接copy.

其中碰到一个问题，花了较长的时间。这里分享下。

暂且把这个问题叫做 “丢掉的HTTP 请求包”。描述如下：

在刚刚完成代码进行测试（开启防御，访问百度，把百度当作保护对象）的时候发现，每次页面的呈现都将延迟3秒，而后使用此连接浏览网页很快。

经过多次调试发现原来是在cookie验证后，客户端其实会很快的发出HTTP请求包，而这时我的代码正在处理第二段与服务端得连接，直接把它丢弃了。然后浏览器3秒后重发此HTTP请求包，此时连接建

立完成，自然页面就出来了。解决办法很简单，缓存住这个丢掉的HTTP请求吧，在第二段连接完成时立即发送即可。

感谢各位的帖子，毕设代码终于完成了:wink:

文库|博客

smalloc

丰衣足食

论坛徽章:: 7

2楼 [报告]

发表于 2009-08-25 17:30 |只看该作者

本科毕设?

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

Godbach

版主

论坛徽章:: 36

3楼 [报告]

发表于 2009-08-25 17:41 |只看该作者

回复 #1 clusterlee 的帖子

我觉得你在HTTP请求的Cookie之后，直接发送给客户端一个RST包，这样客户端就会马上重新建链接。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

emmoblin

大富大贵

论坛徽章:: 0

4楼 [报告]

发表于 2009-08-26 00:20 |只看该作者

什么毕业？这都快9月了

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

clusterlee

白手起家

论坛徽章:: 0

5楼 [报告]

发表于 2009-08-26 09:01 |只看该作者

原帖由 Godbach 于 2009-8-25 17:41 发表
我觉得你在HTTP请求的Cookie之后，直接发送给客户端一个RST包，这样客户端就会马上重新建链接。

这个我也想过，不过RST后连接重新开始，又得进行cookie的计算，和第一段连接，所以就牺牲了点空间换取了时间。

我做的是硕士论文的代码，明年3月多才毕业。其实毕设里的代码和syn cookie防火墙还有一些区别，针对http这类的协议，我是在http请求包里做cookie验证的，同时判断对方的URL权限后再向服务

端起连接。但是对于P-HTTP，就对第一次HTTP请求有意义。

还想做的是提高其对TCP选项的支持，维护一个服务端的TCP参数配置表，记录服务端某个端口否开启SACK、TIMESTAMP、以及当前的窗口扩大因子大小。