1 ... 4 5 6 7 8910 11 12 13 ... 16 / 16 页下一页

[欢迎进入讨论] 关于syn-proxy的一些问题 [复制链接]

platinum

广告杀手

论坛徽章:: 0

81楼 [报告]

发表于 2009-03-16 14:13 |只看该作者

记得当初九贱兄也是自己一点一点慢慢摸索出来的，大概有一年了吧？
不知道效率如何？有没有新的改动呢？

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

Godbach

版主

论坛徽章:: 36

82楼 [报告]

发表于 2009-03-16 14:24 |只看该作者

原帖由 独孤九贱 于 2009-3-16 13:38 发表
楼上的，你让给服务器的syn请求穿过netfilter连接跟踪表（事实上，如何是使用netfilter的状态跟踪，而不是自己来实现，也应该这样做），这个信息不就有地方存储了吗？

采用syncookie + conntrack机制的话，个人觉得流程如下可以：
（1）在PREROUTING处conntrack前注册syncookie的hook函数。fw完成处理和client端SYN三次握手，同时保存初始的SYN包，并记录cookie值。经过验证之后，将保存的SYN包发给server。
（2）fw发给server的syn包经过conntrack，新建一个conntrack表项，并在报文离开fw时加入连接跟踪表。这里如何获取cookie的值，让（1）模块中提供函数吗？
（3）server回复的SYN+ACK报文，fw应该在哪里拦截，应该是在conntrack之后吧。这样可以保证conntrak得到更新。这里可以记录server发过来的SEQ。
（4）fw拦截到SYN+ACK，构造ACK报文，这次还能再更新conntrack吗？ACK报文应该是经过FORWARD点从POSTROUTING出去了吧。如果可以更新，则conntrack表有了这一项。
（5）以后属于这个链接的报文，就直接查链接跟踪。并根据报文的方向和差值对ACK（client）号就行修改还是对SEQ号进行修改。
而这个差值应该就是fw构造的cookie值和server回复SYN+ACK的SEQ的差值。

以上是个人觉得实现的流程，还有一些疑问。大家分析一下可行性啊.

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

Godbach

版主

论坛徽章:: 36

83楼 [报告]

发表于 2009-03-16 14:57 |只看该作者

继续讨论这个:wink:

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

richardhesidu

版主

论坛徽章:: 0

84楼 [报告]

发表于 2009-03-16 15:06 |只看该作者

原帖由 Godbach 于 2009-3-16 14:24 发表

采用syncookie + conntrack机制的话，个人觉得流程如下可以：
采用syncookie + conntrack机制的话，个人觉得流程如下可以：
（1）在PREROUTING处conntrack前注册syncookie的hook函数。fw完成处理和client端SYN三次握手，同时保存初始的SYN包，并记录cookie值。经过验证之后，将保存的SYN包发给server。
（2）fw发给server的syn包经过conntrack，新建一个conntrack表项，并在报文离开fw时加入连接跟踪表。这里如何获取cookie的值，让（1）模块中提供函数吗？

我觉得(2)可以在(1)中完成。在拦截到client发来的ack包的时候。