|14字节以太网头部|20字节IP头部|20字节TCP|6字节填充|4字节查验|
|目的MAC|源MAC|协议类型| IP头 |TCP头|以太网填充 | CRC查验 |
到64字节时,SYN数据包已经填充完成,准备起头传输了。抨击打击数据包很小,远远不敷最年夜传输单位(MTU)的1500字节,因此不会被分片。那么这些数据包就像生产流水线上的罐头一样,一个包连着一个包慎密地挤在一起传输吗?事实上不是这样的。
以太网在传输时,还有前导码(preamble)和帧间距(inter-frame gap)。其中前导码占8字节(byte),即64比特位。前导码前面的7字节都是10101010,1和0距离而成。但第八个字节就酿成了10101011,当主机监测到持续的两个1时,就知道后面起头是数据了。在网络传输时,数据的布局如下:
|8字节前导码|6字节目的MAC地址|6字节源MAC地址|2字节上层协议类型|20字节IP头|20字节TCP头|6字节以太网填充|4字节CRC查验|12字节帧间距|
也就是说,一个原本只有40字节的SYN包,在网络上传输时占的带宽,其实是84字节。
有了上面的根本,现在可以起头计较抨击打击流量和网络设备的线速问题了。当只填充IP头和TCP头的最小SYN包跑在以太网络上时,100Mbit的网络,能支持的最年夜PPS(Packet Per Second)是100×106 / (8 * (64+8+12)) = 148809,1000Mbit的网络,能支持的最年夜PPS是1488090。
SYN Flood防御
前文描述过,SYN Flood抨击打击年夜量消耗办事器的CPU、内存资源,并占满SYN期待队列。相应的,我们修改内核参数便可有效减缓。主要参数如下:
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 8192
net.ipv4.tcp_synack_retries = 2
别离为启用SYN Cookie、设置SYN最年夜队列长度以及设置SYN+ACK最年夜重试次数。
SYN Cookie的作用是减缓办事器资源压力。启用之前,办事器在接到SYN数据包后,当即分派存储空间,并随机化一个数字作为SYN号发送SYN+ACK数据包。然后保存毗连的状态信息期待客户端确认。启用SYN Cookie之后,办事器不再分派存储空间,并且通过基于时间种子的随机数算法设置一个SYN号,替代完全随机的SYN号。发送完SYN+ACK确认报文之后,清空资源不保存任何状态信息。直到办事器接到客户真个最终ACK包,通过Cookie查验算法判定是否与发出去的SYN+ACK报文序列号匹配,匹配则通过完成握手,失败则抛弃。当然,前文的高级抨击打击中有SYN同化ACK的抨击打击体例,则是对此种防御体例的反击,其中优劣由双方的硬件配置决定。tcp_max_syn_backlog则是使用办事器的内存资源,换取更年夜的期待队列长度,让抨击打击数据包不至于占满所有毗连而致使正常常使用户无法完成握手。net.ipv4.tcp_synack_retries是下降办事器SYN+ACK报文重试次数,尽快释放期待资源。这三种办法与抨击打击的三种危害一一对应,完完全全地有的放矢。但这些办法也是双刃剑,可能消耗办事器更多的内存资源,甚至影响正常常使用户成立TCP毗连,需要评估办事器硬件资源和抨击打击年夜小谨慎设置。
除定制TCP/IP协议栈之外,还有一种常见做法是TCP首包抛弃方案,操纵TCP协议的重传机制识别正常常使用户和抨击打击报文。当防御设备接到一个IP地址的SYN报文后,简单比对该IP是否存在于白名单中,存在则转发到后端。如不存在于白名单中,查抄是否是该IP在一按时间段内的首次SYN报文,不是则查抄是否重传报文,是重传则转发并插手白名单,不是则抛弃并插手黑名单。是首次SYN报文则抛弃并期待一段时间以试图接管该IP的SYN重传报文,期待超时则判定为抨击打击报文插手黑名单。
首包抛弃方案对用户体验会略有影响,因为抛弃首包重传会增年夜业务的响应时间,有鉴于此成长出了一种更优的TCP Proxy方案。所有的SYN数据报文由清洗设备接管,依照SYN Cookie方案措置。和设备成功成立了TCP三次握手的IP地址被判定为正当用户插手白名单,由设备伪装真实客户端IP地址再与真实办事器完成三次握手,随后转发数据。而指按时间内没有和设备完成三次握手的IP地址,被判定为歹意IP地址屏蔽一按时间。除SYN Cookie连络TCP Proxy外,清洗设备还具有多种畸形TCP标记位数据包探测的能力,通过对SYN报文返回非预期应答测试客户端反应的体例来辨别正常拜候和歹意行为。
清洗设备的硬件具有特殊的网络措置器芯片和特别优化的操作系统、TCP/IP协议栈,可以措置很是巨年夜的流量和SYN队列。