免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 52181 | 回复: 152

[欢迎进入讨论] 关于syn-proxy的一些问题 [复制链接]

论坛徽章:
36
IT运维版块每日发帖之星
日期:2016-04-10 06:20:00IT运维版块每日发帖之星
日期:2016-04-16 06:20:0015-16赛季CBA联赛之广东
日期:2016-04-16 19:59:32IT运维版块每日发帖之星
日期:2016-04-18 06:20:00IT运维版块每日发帖之星
日期:2016-04-19 06:20:00每日论坛发贴之星
日期:2016-04-19 06:20:00IT运维版块每日发帖之星
日期:2016-04-25 06:20:00IT运维版块每日发帖之星
日期:2016-05-06 06:20:00IT运维版块每日发帖之星
日期:2016-05-08 06:20:00IT运维版块每日发帖之星
日期:2016-05-13 06:20:00IT运维版块每日发帖之星
日期:2016-05-28 06:20:00每日论坛发贴之星
日期:2016-05-28 06:20:00
发表于 2009-03-12 17:53 |显示全部楼层
Linux内核中提供了SYN Cookie的检验机制,用来防御SYN Flood攻击。因此,延伸出来的在SYN Cookie Firewall,用来验证SYN连接,并对通过验证报文进行转发。
具体的内容可以参考《SYN Cookie原理及其在Linux内核中的实现
http://www.ibm.com/developerworks/cn/linux/l-syncookie/index.html

使用syn cookie检验机制的Firewall,实际上相当于一个syn proxy。它会代替server对client三次握手,对syn报文进行cookie验证,然后再将client初始的syn报文发给server,并做三次握手。这个过程中,很明显client记录的server的seq实际上firewal初始的seq。
如下图所示:
syn-proxy.gif

因此,Firewall就要负责这个序列号在client和server交互的报文之间进行转换(维护一个差值),直到这个连接结束。

这里的问题如下:

通常情况下,Firewall对于多个syn连接处理的时候,FW是不是就得维护多个差值。 这样的话是不是需要记录连接的五元组,并且维护一个hash表。这个hash表应该包含那些内容呢?

论坛徽章:
3
金牛座
日期:2014-06-14 22:04:062015年辞旧岁徽章
日期:2015-03-03 16:54:152015年迎新春徽章
日期:2015-03-04 09:49:45
发表于 2009-03-12 21:31 |显示全部楼层

回复 #1 Godbach 的帖子

如果是完全的拦截,其实对序列号不需要多做考虑

论坛徽章:
36
IT运维版块每日发帖之星
日期:2016-04-10 06:20:00IT运维版块每日发帖之星
日期:2016-04-16 06:20:0015-16赛季CBA联赛之广东
日期:2016-04-16 19:59:32IT运维版块每日发帖之星
日期:2016-04-18 06:20:00IT运维版块每日发帖之星
日期:2016-04-19 06:20:00每日论坛发贴之星
日期:2016-04-19 06:20:00IT运维版块每日发帖之星
日期:2016-04-25 06:20:00IT运维版块每日发帖之星
日期:2016-05-06 06:20:00IT运维版块每日发帖之星
日期:2016-05-08 06:20:00IT运维版块每日发帖之星
日期:2016-05-13 06:20:00IT运维版块每日发帖之星
日期:2016-05-28 06:20:00每日论坛发贴之星
日期:2016-05-28 06:20:00
发表于 2009-03-12 22:12 |显示全部楼层
原帖由 dreamice 于 2009-3-12 21:31 发表
如果是完全的拦截,其实对序列号不需要多做考虑


关键是防火墙做一下验证,正常的访问还得继续。不考虑序列号不行吧?

论坛徽章:
3
金牛座
日期:2014-06-14 22:04:062015年辞旧岁徽章
日期:2015-03-03 16:54:152015年迎新春徽章
日期:2015-03-04 09:49:45
发表于 2009-03-12 22:23 |显示全部楼层
原帖由 Godbach 于 2009-3-12 22:12 发表


关键是防火墙做一下验证,正常的访问还得继续。不考虑序列号不行吧?


关键是你拦截在什么地方,包能否走到tcp层?
一个syn包,是不会走到应用层的,只是在内核检查到有应用程序在监听这个端口,那么在tcp层就直接回ack+syn包了,
所以,这个就看你在哪里拦截了,你若在ip层阻挡了,不让他上去,那考虑序列号也没什么意义,除非你在这个ip层模拟发ack。

论坛徽章:
36
IT运维版块每日发帖之星
日期:2016-04-10 06:20:00IT运维版块每日发帖之星
日期:2016-04-16 06:20:0015-16赛季CBA联赛之广东
日期:2016-04-16 19:59:32IT运维版块每日发帖之星
日期:2016-04-18 06:20:00IT运维版块每日发帖之星
日期:2016-04-19 06:20:00每日论坛发贴之星
日期:2016-04-19 06:20:00IT运维版块每日发帖之星
日期:2016-04-25 06:20:00IT运维版块每日发帖之星
日期:2016-05-06 06:20:00IT运维版块每日发帖之星
日期:2016-05-08 06:20:00IT运维版块每日发帖之星
日期:2016-05-13 06:20:00IT运维版块每日发帖之星
日期:2016-05-28 06:20:00每日论坛发贴之星
日期:2016-05-28 06:20:00
发表于 2009-03-12 22:30 |显示全部楼层
原帖由 dreamice 于 2009-3-12 22:23 发表


关键是你拦截在什么地方,包能否走到tcp层?
一个syn包,是不会走到应用层的,只是在内核检查到有应用程序在监听这个端口,那么在tcp层就直接回ack+syn包了,
所以,这个就看你在哪里拦截了,你若在ip层 ...


dreamice兄可能没有理解那个附图的意思吧。你首先代替服务器发送了SYNcookie ,但是真正再把这个SYN发送到服务器,建立连接之后,从server发向client的报文的seq和client预期的是不一样的。

论坛徽章:
3
金牛座
日期:2014-06-14 22:04:062015年辞旧岁徽章
日期:2015-03-03 16:54:152015年迎新春徽章
日期:2015-03-04 09:49:45
发表于 2009-03-12 22:47 |显示全部楼层

回复 #5 Godbach 的帖子

看昏了,我以为是透明代理

论坛徽章:
36
IT运维版块每日发帖之星
日期:2016-04-10 06:20:00IT运维版块每日发帖之星
日期:2016-04-16 06:20:0015-16赛季CBA联赛之广东
日期:2016-04-16 19:59:32IT运维版块每日发帖之星
日期:2016-04-18 06:20:00IT运维版块每日发帖之星
日期:2016-04-19 06:20:00每日论坛发贴之星
日期:2016-04-19 06:20:00IT运维版块每日发帖之星
日期:2016-04-25 06:20:00IT运维版块每日发帖之星
日期:2016-05-06 06:20:00IT运维版块每日发帖之星
日期:2016-05-08 06:20:00IT运维版块每日发帖之星
日期:2016-05-13 06:20:00IT运维版块每日发帖之星
日期:2016-05-28 06:20:00每日论坛发贴之星
日期:2016-05-28 06:20:00
发表于 2009-03-12 22:59 |显示全部楼层
原帖由 dreamice 于 2009-3-12 22:47 发表
看昏了,我以为是透明代理


呵呵,有时间讨论一下这个转换以及实现啊。

论坛徽章:
3
金牛座
日期:2014-06-14 22:04:062015年辞旧岁徽章
日期:2015-03-03 16:54:152015年迎新春徽章
日期:2015-03-04 09:49:45
发表于 2009-03-12 23:11 |显示全部楼层
原帖由 Godbach 于 2009-3-12 22:59 发表


呵呵,有时间讨论一下这个转换以及实现啊。


现在内核支持透明代理,就不用考虑这些东东了

论坛徽章:
3
金牛座
日期:2014-06-14 22:04:062015年辞旧岁徽章
日期:2015-03-03 16:54:152015年迎新春徽章
日期:2015-03-04 09:49:45
发表于 2009-03-12 23:12 |显示全部楼层

回复 #7 Godbach 的帖子

不过我不太清楚这个应用,可能和我想的不一样

论坛徽章:
0
发表于 2009-03-13 09:02 |显示全部楼层
我想可以参考ftp的conntrack和nat实现
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

DTCC2020中国数据库技术大会

【架构革新 高效可控】2020年12月21日-23日第十一届中国数据库技术大会将在北京隆重召开。

大会设置2大主会场,20+技术专场,将邀请超百位行业专家,重点围绕数据架构、AI与大数据、传统企业数据库实践和国产开源数据库等内容展开分享和探讨,为广大数据领域从业人士提供一场年度盛会和交流平台。

http://dtcc.it168.com


大会官网>>
  

北京盛拓优讯信息技术有限公司. 版权所有 16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122
中国互联网协会会员  联系我们:huangweiwei@it168.com
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP