免费注册	查看新帖 \|


平台论坛博客文库

› 论坛 › 程序设计 › 内核源码 › [欢迎进入讨论] 关于syn-proxy的一些问题

12 3 4 5 6 7 8 9 10 ... 16 / 16 页下一页

最近访问板块

发新帖

查看: 58438 | 回复: 152

上一主题

下一主题

[欢迎进入讨论] 关于syn-proxy的一些问题 [复制链接]

论坛徽章:: 36

IT运维版块每日发帖之星
日期:2016-04-10 06:20:00

IT运维版块每日发帖之星
日期:2016-04-16 06:20:00

15-16赛季CBA联赛之广东
日期:2016-04-16 19:59:32

IT运维版块每日发帖之星
日期:2016-04-18 06:20:00

IT运维版块每日发帖之星
日期:2016-04-19 06:20:00

每日论坛发贴之星
日期:2016-04-19 06:20:00

IT运维版块每日发帖之星
日期:2016-04-25 06:20:00

IT运维版块每日发帖之星
日期:2016-05-06 06:20:00

IT运维版块每日发帖之星
日期:2016-05-08 06:20:00

IT运维版块每日发帖之星
日期:2016-05-13 06:20:00

IT运维版块每日发帖之星
日期:2016-05-28 06:20:00

每日论坛发贴之星
日期:2016-05-28 06:20:00

电梯直达

跳转到指定楼层

1楼 [收藏(0)] [报告]

发表于 2009-03-12 17:53 |只看该作者 |倒序浏览

Linux内核中提供了SYN Cookie的检验机制，用来防御SYN Flood攻击。因此，延伸出来的在SYN Cookie Firewall，用来验证SYN连接，并对通过验证报文进行转发。
具体的内容可以参考《SYN Cookie原理及其在Linux内核中的实现》
http://www.ibm.com/developerworks/cn/linux/l-syncookie/index.html

使用syn cookie检验机制的Firewall，实际上相当于一个syn proxy。它会代替server对client三次握手，对syn报文进行cookie验证，然后再将client初始的syn报文发给server，并做三次握手。这个过程中，很明显client记录的server的seq实际上firewal初始的seq。
如下图所示：

因此，Firewall就要负责这个序列号在client和server交互的报文之间进行转换（维护一个差值），直到这个连接结束。

这里的问题如下：

通常情况下，Firewall对于多个syn连接处理的时候，FW是不是就得维护多个差值。这样的话是不是需要记录连接的五元组，并且维护一个hash表。这个hash表应该包含那些内容呢？

文库|博客

论坛徽章:: 3

金牛座
日期:2014-06-14 22:04:06

2015年辞旧岁徽章
日期:2015-03-03 16:54:15

2015年迎新春徽章
日期:2015-03-04 09:49:45

2楼 [报告]

发表于 2009-03-12 21:31 |只看该作者

回复 #1 Godbach 的帖子

如果是完全的拦截，其实对序列号不需要多做考虑

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 36

IT运维版块每日发帖之星
日期:2016-04-10 06:20:00

IT运维版块每日发帖之星
日期:2016-04-16 06:20:00

15-16赛季CBA联赛之广东
日期:2016-04-16 19:59:32

IT运维版块每日发帖之星
日期:2016-04-18 06:20:00

IT运维版块每日发帖之星
日期:2016-04-19 06:20:00

每日论坛发贴之星
日期:2016-04-19 06:20:00

IT运维版块每日发帖之星
日期:2016-04-25 06:20:00

IT运维版块每日发帖之星
日期:2016-05-06 06:20:00

IT运维版块每日发帖之星
日期:2016-05-08 06:20:00

IT运维版块每日发帖之星
日期:2016-05-13 06:20:00

IT运维版块每日发帖之星
日期:2016-05-28 06:20:00

每日论坛发贴之星
日期:2016-05-28 06:20:00

3楼 [报告]

发表于 2009-03-12 22:12 |只看该作者

原帖由 dreamice 于 2009-3-12 21:31 发表
如果是完全的拦截，其实对序列号不需要多做考虑

关键是防火墙做一下验证，正常的访问还得继续。不考虑序列号不行吧？

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 3

金牛座
日期:2014-06-14 22:04:06

2015年辞旧岁徽章
日期:2015-03-03 16:54:15

2015年迎新春徽章
日期:2015-03-04 09:49:45

4楼 [报告]

发表于 2009-03-12 22:23 |只看该作者

原帖由 Godbach 于 2009-3-12 22:12 发表

关键是防火墙做一下验证，正常的访问还得继续。不考虑序列号不行吧？

关键是你拦截在什么地方，包能否走到tcp层？
一个syn包，是不会走到应用层的，只是在内核检查到有应用程序在监听这个端口，那么在tcp层就直接回ack＋syn包了，
所以，这个就看你在哪里拦截了，你若在ip层阻挡了，不让他上去，那考虑序列号也没什么意义，除非你在这个ip层模拟发ack。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 36

IT运维版块每日发帖之星
日期:2016-04-10 06:20:00

IT运维版块每日发帖之星
日期:2016-04-16 06:20:00

15-16赛季CBA联赛之广东
日期:2016-04-16 19:59:32

IT运维版块每日发帖之星
日期:2016-04-18 06:20:00

IT运维版块每日发帖之星
日期:2016-04-19 06:20:00

每日论坛发贴之星
日期:2016-04-19 06:20:00

IT运维版块每日发帖之星
日期:2016-04-25 06:20:00

IT运维版块每日发帖之星
日期:2016-05-06 06:20:00

IT运维版块每日发帖之星
日期:2016-05-08 06:20:00

IT运维版块每日发帖之星
日期:2016-05-13 06:20:00

IT运维版块每日发帖之星
日期:2016-05-28 06:20:00

每日论坛发贴之星
日期:2016-05-28 06:20:00

5楼 [报告]

发表于 2009-03-12 22:30 |只看该作者

原帖由 dreamice 于 2009-3-12 22:23 发表

关键是你拦截在什么地方，包能否走到tcp层？
一个syn包，是不会走到应用层的，只是在内核检查到有应用程序在监听这个端口，那么在tcp层就直接回ack＋syn包了，
所以，这个就看你在哪里拦截了，你若在ip层 ...

dreamice兄可能没有理解那个附图的意思吧。你首先代替服务器发送了SYNcookie ，但是真正再把这个SYN发送到服务器，建立连接之后，从server发向client的报文的seq和client预期的是不一样的。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 3

金牛座
日期:2014-06-14 22:04:06

2015年辞旧岁徽章
日期:2015-03-03 16:54:15

2015年迎新春徽章
日期:2015-03-04 09:49:45

6楼 [报告]

发表于 2009-03-12 22:47 |只看该作者

回复 #5 Godbach 的帖子

看昏了，我以为是透明代理

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 36

IT运维版块每日发帖之星
日期:2016-04-10 06:20:00

IT运维版块每日发帖之星
日期:2016-04-16 06:20:00

15-16赛季CBA联赛之广东
日期:2016-04-16 19:59:32

IT运维版块每日发帖之星
日期:2016-04-18 06:20:00

IT运维版块每日发帖之星
日期:2016-04-19 06:20:00

每日论坛发贴之星
日期:2016-04-19 06:20:00

IT运维版块每日发帖之星
日期:2016-04-25 06:20:00

IT运维版块每日发帖之星
日期:2016-05-06 06:20:00

IT运维版块每日发帖之星
日期:2016-05-08 06:20:00

IT运维版块每日发帖之星
日期:2016-05-13 06:20:00

IT运维版块每日发帖之星
日期:2016-05-28 06:20:00

每日论坛发贴之星
日期:2016-05-28 06:20:00

7楼 [报告]

发表于 2009-03-12 22:59 |只看该作者

原帖由 dreamice 于 2009-3-12 22:47 发表
看昏了，我以为是透明代理

呵呵，有时间讨论一下这个转换以及实现啊。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 3

金牛座
日期:2014-06-14 22:04:06

2015年辞旧岁徽章
日期:2015-03-03 16:54:15

2015年迎新春徽章
日期:2015-03-04 09:49:45

8楼 [报告]

发表于 2009-03-12 23:11 |只看该作者

原帖由 Godbach 于 2009-3-12 22:59 发表

呵呵，有时间讨论一下这个转换以及实现啊。

现在内核支持透明代理，就不用考虑这些东东了

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 3

金牛座
日期:2014-06-14 22:04:06

2015年辞旧岁徽章
日期:2015-03-03 16:54:15

2015年迎新春徽章
日期:2015-03-04 09:49:45

9楼 [报告]

发表于 2009-03-12 23:12 |只看该作者

回复 #7 Godbach 的帖子

不过我不太清楚这个应用，可能和我想的不一样

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 0

10楼 [报告]

发表于 2009-03-13 09:02 |只看该作者

我想可以参考ftp的conntrack和nat实现

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

12 3 4 5 6 7 8 9 10 ... 16 / 16 页下一页

发新帖

Chinaunix › 论坛 › 程序设计 › 内核源码 › [欢迎进入讨论] 关于syn-proxy的一些问题

北京盛拓优讯信息技术有限公司. 版权所有京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号：11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员联系我们：huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP