大家好,我是小林,
之前有個讀者在秋招面試的時候,被問了這么一個問題:SYN 報文什么時候情況下會被丟棄?
好家伙,現在面試都問那么細節了嗎?
不過話說回來,這個問題跟作業上也是有關系的,因為我就在作業中碰到這么奇怪的時候,客戶端向服務端發起了連接,但是連接并沒有建立起來,通過抓包分析發現,服務端是收到 SYN 報文了,但是并沒有回復 SYN+ACK(TCP 第二次握手),說明 SYN 報文被服務端忽略了,然后客戶端就一直在超時重傳 SYN 報文,直到達到最大的重傳次數,
接下來,我就給出我遇到過 SYN 報文被丟棄的兩種場景:
-
開啟 tcp_tw_recycle 引數,并且在 NAT 環境下,造成 SYN 報文被丟棄
-
TCP 兩個佇列滿了(半連接佇列和全連接佇列),造成 SYN 報文被丟棄
坑爹的 tcp_tw_recycle
TCP 四次揮手程序中,主動斷開連接方會有一個 TIME_WAIT 的狀態,這個狀態會持續 2 MSL 后才會轉變為 CLOSED 狀態,
在 Linux 作業系統下,TIME_WAIT 狀態的持續時間是 60 秒,這意味著這 60 秒內,客戶端一直會占用著這個埠,要知道,埠資源也是有限的,一般可以開啟的埠為 32768~61000 ,也可以通過如下引數設定指定范圍:
net.ipv4.ip_local_port_range
那么,如果如果主動斷開連接方的 TIME_WAIT 狀態過多,占滿了所有埠資源,則會導致無法創建新連接,
但是 TIME_WAIT 狀態也不是擺設作用,它的作用有兩個:
- 防止具有相同四元組的舊資料包被收到,也就是防止歷史連接中的資料,被后面的連接接受,否則就會導致后面的連接收到一個無效的資料,
- 保證「被動關閉連接」的一方能被正確的關閉,即保證最后的 ACK 能讓被動關閉方接收,從而幫助其正常關閉;
不過,Linux 作業系統提供了兩個可以系統引數來快速回收處于 TIME_WAIT 狀態的連接,這兩個引數都是默認關閉的:
- net.ipv4.tcp_tw_reuse,如果開啟該選項的話,客戶端(連接發起方) 在呼叫 connect() 函式時,內核會隨機找一個 time_wait 狀態超過 1 秒的連接給新的連接復用,所以該選項只適用于連接發起方,
- net.ipv4.tcp_tw_recycle,如果開啟該選項的話,允許處于 TIME_WAIT 狀態的連接被快速回收;
要使得這兩個選項生效,有一個前提條件,就是要打開 TCP 時間戳,即 net.ipv4.tcp_timestamps=1(默認即為 1)),
tcp_tw_recycle 在使用了 NAT 的網路下是不安全的!
對于服務器來說,如果同時開啟了recycle 和 timestamps 選項,則會開啟一種稱之為「 per-host 的 PAWS 機制」,
首先給大家說說什么是 PAWS 機制?
tcp_timestamps 選項開啟之后, PAWS 機制會自動開啟,它的作用是防止 TCP 包中的序列號發生繞回,
正常來說每個 TCP 包都會有自己唯一的 SEQ,出現 TCP 資料包重傳的時候會復用 SEQ 號,這樣接收方能通過 SEQ 號來判斷資料包的唯一性,也能在重復收到某個資料包的時候判斷資料是不是重傳的,但是 TCP 這個 SEQ 號是有限的,一共 32 bit,SEQ 開始是遞增,溢位之后從 0 開始再次依次遞增,
所以當 SEQ 號出現溢位后單純通過 SEQ 號無法標識資料包的唯一性,某個資料包延遲或因重發而延遲時可能導致連接傳遞的資料被破壞,比如:
上圖 A 資料包出現了重傳,并在 SEQ 號耗盡再次從 A 遞增時,第一次發的 A 資料包延遲到達了 Server,這種情況下如果沒有別的機制來保證,Server 會認為延遲到達的 A 資料包是正確的而接收,反而是將正常的第三次發的 SEQ 為 A 的資料包丟棄,造成資料傳輸錯誤,
PAWS 就是為了避免這個問題而產生的,在開啟 tcp_timestamps 選項情況下,一臺機器發的所有 TCP 包都會帶上發送時的時間戳,PAWS 要求連接雙方維護最近一次收到的資料包的時間戳(Recent TSval),每收到一個新資料包都會讀取資料包中的時間戳值跟 Recent TSval 值做比較,如果發現收到的資料包中時間戳不是遞增的,則表示該資料包是過期的,就會直接丟棄這個資料包,
對于上面圖中的例子有了 PAWS 機制就能做到在收到 Delay 到達的 A 號資料包時,識別出它是個過期的資料包而將其丟掉,
那什么是 per-host 的 PAWS 機制呢?
前面我提到,開啟了 recycle 和 timestamps 選項,就會開啟一種叫 per-host 的 PAWS 機制,per-host 是對「對端 IP 做 PAWS 檢查」,而非對「IP + 埠」四元組做 PAWS 檢查,
但是如果客戶端網路環境是用了 NAT 網關,那么客戶端環境的每一臺機器通過 NAT 網關后,都會是相同的 IP 地址,在服務端看來,就好像只是在跟一個客戶端打交道一樣,無法區分出來,
Per-host PAWS 機制利用TCP option里的 timestamp 欄位的增長來判斷串擾資料,而 timestamp 是根據客戶端各自的 CPU tick 得出的值,
當客戶端 A 通過 NAT 網關和服務器建立 TCP 連接,然后服務器主動關閉并且快速回收 TIME-WAIT 狀態的連接后,客戶端 B 也通過 NAT 網關和服務器建立 TCP 連接,注意客戶端 A 和 客戶端 B 因為經過相同的 NAT 網關,所以是用相同的 IP 地址與服務端建立 TCP 連接,如果客戶端 B 的 timestamp 比 客戶端 A 的 timestamp 小,那么由于服務端的 per-host 的 PAWS 機制的作用,服務端就會丟棄客戶端主機 B 發來的 SYN 包,
因此,tcp_tw_recycle 在使用了 NAT 的網路下是存在問題的,如果它是對 TCP 四元組做 PAWS 檢查,而不是對「相同的 IP 做 PAWS 檢查」,那么就不會存在這個問題了,
網上很多博客都說開啟 tcp_tw_recycle 引數來優化 TCP,我信你個鬼,糟老頭壞的很!
tcp_tw_recycle 在 Linux 4.12 版本后,直接取消了這一引數,
accpet 佇列滿了
在 TCP 三次握手的時候,Linux 內核會維護兩個佇列,分別是:
- 半連接佇列,也稱 SYN 佇列;
- 全連接佇列,也稱 accepet 佇列;
服務端收到客戶端發起的 SYN 請求后,內核會把該連接存盤到半連接佇列,并向客戶端回應 SYN+ACK,接著客戶端會回傳 ACK,服務端收到第三次握手的 ACK 后,內核會把連接從半連接佇列移除,然后創建新的完全的連接,并將其添加到 accept 佇列,等待行程呼叫 accept 函式時把連接取出來,
半連接佇列滿了
當服務器造成syn攻擊,就有可能導致 TCP 半連接佇列滿了,這時后面來的 syn 包都會被丟棄,
但是,如果開啟了syncookies 功能,即使半連接佇列滿了,也不會丟棄syn 包,
syncookies 是這么做的:服務器根據當前狀態計算出一個值,放在己方發出的 SYN+ACK 報文中發出,當客戶端回傳 ACK 報文時,取出該值驗證,如果合法,就認為連接建立成功,如下圖所示,
開啟 syncookies 功能
syncookies 引數主要有以下三個值:
- 0 值,表示關閉該功能;
- 1 值,表示僅當 SYN 半連接佇列放不下時,再啟用它;
- 2 值,表示無條件開啟功能;
那么在應對 SYN 攻擊時,只需要設定為 1 即可:
這里給出幾種防御 SYN 攻擊的方法:
- 增大半連接佇列;
- 開啟 tcp_syncookies 功能
- 減少 SYN+ACK 重傳次數
方式一:增大半連接佇列
要想增大半連接佇列,我們得知不能只單純增大 tcp_max_syn_backlog 的值,還需一同增大 somaxconn 和 backlog,也就是增大全連接佇列,否則,只單純增大 tcp_max_syn_backlog 是無效的,
增大 tcp_max_syn_backlog 和 somaxconn 的方法是修改 Linux 內核引數:
增大 backlog 的方式,每個 Web 服務都不同,比如 Nginx 增大 backlog 的方法如下:
最后,改變了如上這些引數后,要重啟 Nginx 服務,因為半連接佇列和全連接佇列都是在 listen() 初始化的,
方式二:開啟 tcp_syncookies 功能
開啟 tcp_syncookies 功能的方式也很簡單,修改 Linux 內核引數:
方式三:減少 SYN+ACK 重傳次數
當服務端受到 SYN 攻擊時,就會有大量處于 SYN_REVC 狀態的 TCP 連接,處于這個狀態的 TCP 會重傳 SYN+ACK ,當重傳超過次數達到上限后,就會斷開連接,
那么針對 SYN 攻擊的場景,我們可以減少 SYN+ACK 的重傳次數,以加快處于 SYN_REVC 狀態的 TCP 連接斷開,
全連接佇列滿了
在服務端并發處理大量請求時,如果 TCP accpet 佇列過小,或者應用程式呼叫 accept() 不及時,就會造成 accpet 佇列滿了 ,這時后續的連接就會被丟棄,這樣就會出現服務端請求數量上不去的現象,
我們可以通過 ss 命令來看 accpet 佇列大小,在「LISTEN 狀態」時,Recv-Q/Send-Q 表示的含義如下:
- Recv-Q:當前 accpet 佇列的大小,也就是當前已完成三次握手并等待服務端
accept()的 TCP 連接個數; - Send-Q:當前 accpet 最大佇列長度,上面的輸出結果說明監聽 8088 埠的 TCP 服務行程,accpet 佇列的最大長度為 128;
如果 Recv-Q 的大小超過 Send-Q,就說明發生了 accpet 佇列滿的情況,
要解決這個問題,我們可以:
- 調大 accpet 佇列的最大長度,調大的方式是通過調大 backlog 以及 somaxconn 引數,
- 檢查系統或者代碼為什么呼叫 accept() 不及時;
關于 SYN 佇列和 accpet 佇列,我之前寫過一篇很詳細的文章:TCP 半連接佇列和全連接佇列滿了會發生什么?又該如何應對?
好了,今天就分享到這里啦,
如果有大佬還知道其他場景,歡迎評論區分享一下,讓我也增加下知識哈哈,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/389163.html
標籤:其他
上一篇:計算機考研資料結構演算法模板
下一篇:引入身份準入機制,增強物聯網安全