环境:centos7.4 内核版本3.10
内核参数net.ipv4.tcp_max_syn_backlog定义了处于SYN_RECV的TCP最大连接数,当处于SYN_RECV状态的TCP连接数超过tcp_max_syn_backlog后,会丢弃后续的SYN报文。
为了测试上述结论,首先将tcp_syncookies设置为0,并将net.ipv4.tcp_max_syn_backlog设置为2,测试拓扑为:1.1.1.1(client)------1.1.1.2:19090(server),在client端添加如下iptables规则,在发送完SYN报文后,底层丢弃接收到的SYN/ACK报文
iptables -t filter -I INPUT -p tcp -m tcp --sport 19090 --tcp-flag SYN,ACK SYN,ACK -j DROP
但在实际测试中发现处于SYN_RECV状态的连接数可以大于设置的值2,且如果此时触发新的连接,该连接也能正常建链。难道tcp_max_syn_backlog没有生效?通过查找文档,发现在这篇文章中给出了原因。在内核net/core/request_sock.c中的实现如下,红色字体代码给出了计算tcp_max_syn_backlog的最小值。sysctl_max_syn_backlog的值对应手动设置的net.ipv4.tcp_max_syn_backlog的值。
int reqsk_queue_alloc(@H_404_20@struct request_sock_queue *@H_404_20@queue,unsigned @H_404_20@int@H_404_20@ nr_table_entries) { size_t lopt_size = @H_404_20@sizeof(@H_404_20@struct@H_404_20@ listen_sock); @H_404_20@struct listen_sock *@H_404_20@lopt; nr_table_entries = min_t(u32,nr_table_entries,sysctl_max_syn_backlog); nr_table_entries = max_t(u32,8); nr_table_entries = roundup_pow_of_two(nr_table_entries + 1@H_404_20@); lopt_size += nr_table_entries * @H_404_20@struct request_sock *@H_404_20@); @H_404_20@if (lopt_size >@H_404_20@ PAGE_SIZE) lopt =@H_404_20@ vzalloc(lopt_size); @H_404_20@else@H_404_20@ lopt =@H_404_20@ kzalloc(lopt_size,GFP_KERNEL); @H_404_20@if (lopt ==@H_404_20@ NULL) @H_404_20@return -@H_404_20@ENOMEM; @H_404_20@ for (lopt->max_qlen_log = 3; (1 << lopt->max_qlen_log) < nr_table_entries; lopt->max_qlen_log++);@H_404_20@ get_random_bytes(&lopt->hash_rnd,@H_404_20@sizeof(lopt->@H_404_20@hash_rnd)); rwlock_init(&queue->@H_404_20@syn_wait_lock); queue->rskq_accept_head =@H_404_20@ NULL; lopt->nr_table_entries =@H_404_20@ nr_table_entries; write_lock_bh(&queue->@H_404_20@syn_wait_lock); queue->listen_opt =@H_404_20@ lopt; write_unlock_bh(&queue->@H_404_20@syn_wait_lock); @H_404_20@return 0@H_404_20@; }
可以看到当sysctl_max_syn_backlog=2时,计算过程如下:
-
- nr_table_entries = min_t(u32,sysctl_max_syn_backlog);nr_table_entries为listen backlog的值,即系统net.core.somaxconn的值,默认128。此处获取nr_table_entries和sysctl_max_syn_backlog的最小值,得出nr_table_entries=2
- nr_table_entries = max_t(u32,8);计算nr_table_entries和8的最大值,此时得出nr_table_entries=8
- nr_table_entries = roundup_pow_of_two(nr_table_entries + 1);计算(1UL << (ilog2((9) - 1) + 1)),即1<<3=16。这就是net.ipv4.tcp_max_syn_backlog的最小值
使用如下脚本模拟syn flood攻击,当 watch 'netstat -antp|grep SYN_RECV|wc -l' 等于16时,换一台机器连接server发现连接超时;设置tcp_syncookies=1,重复上面测试,当 watch 'netstat -antp|grep SYN_RECV|wc -l' 等于16时,换一台机器连接server发现此时连接成功。
#!/bin/@H_404_20@sh initPort=10000 @H_404_20@for ((i=1; i<=200; i ++@H_404_20@)) @H_404_20@do@H_404_20@ initPort=$[initPort+1@H_404_20@] sendip -v -p ipv4 -@H_404_20@is 1.1.1.1 -p tcp -ts $initPort -td 19090 -tfs -tots 1.1.1.2@H_404_20@ sleep 0.5@H_404_20@ done
