TCP SYN-Cookie背后的人和事 - 续 -- 网络系统 -- IT技术博客大学习 -- 共学习共进步！

您现在的位置：首页 --> 网络系统 --> TCP SYN-Cookie背后的人和事 - 续

TCP SYN-Cookie背后的人和事 - 续

浏览:2854次出处信息

以前写过一篇“TCP SYN-Cookie背后的人和事”，今天讨论一下发现我的理解也没有到位。看来工程中没有看过code或者调试过，对于一个事物就无法透彻的理解。本来的理解是SynCookie不会保存Session信息，取而代之的是要保存一个32bits的Cookie。一个依据就是：如果本机没有保存任何秘密，如何验证正常的Session呢？如果不用秘密攻击者就可以制造出对应的第三个ACK，可以等待一段时间发送第三个ACK造成实际的攻击。

现在有了更多的理解，看起来SynCookie不用本地缓存任何内容，包括不会生成的32bits的cookie。

Wiki之中介绍了Syn Cookiehttp://en.wikipedia.org/wiki/SYN_cookies：

Sync-Cookie的使用是有前提的，仅仅适用于伪造IP地址的连接建立请求，对于基于正常的连接建立的DDos攻击不起作用。对于伪造原始IP，攻击者无法知道box产生的S2C的ISN，这个就是最基本的Secret，即使没有SynCookie的存在，第三个伪造报文也无法构造成功。剩余的需求就是SynCookie如何根据正常连接的第三个报文验证ACK报文并且构建Session了。

Syn-Cookie feature的前提有以下几个：

不会建立session

不会queue SYN报文而是丢弃它

不在本地保存任何Session相关信息或checksum

要完成的事情是在第三个报文到来之后做以下两件事：

检验是否这个ACK的前两个报文确实来过

根据第三个报文重构整个Session的信息。

SynCookie通过精心构造Syn-Ack中的ISN来实现上述功能：

let t = A slowly incrementing timestamp (typically time() logically right-shifted 6 positions, which gives a 64 second resolution)

let m = The maximum segment size (MSS) value that the server would have stored in the SYN queue entry

let s = The result of a cryptographic secret function computed over the server IP address and port number, the client IP address and port number, and the value t. The returned value s must be a 24-bit value.

The initial TCP sequence number, i.e. the SYN cookie, is computed as follows:

First 5 bits: t mod 32

Next 3 bits: an encoded value representing m

Final 24 bits: s

首先，验证ACK报文是否属于先前的Session

1.将ACK的Seq-1得到原始的ISN。验证t字段同当前的系统time比较，表明是否收到的内容超时，例如30秒才收到ACK。

2.是否m字段和本地MSS比较有效，m值应该是一个index，本地保存8个固定的M值，否则无法回复连接的MSS字段。

3.计算s，看看是否相等，这里的t是box产生的，也应该算是secret了。

然后，是Session的恢复

1.five-tuple自然可以从报文中读取

2.Sequence Number从报文直接读取就可以了

3.MSS的恢复