文章目录
- [一、增大 TCP 半连接队列](#一、增大 TCP 半连接队列)
- [二、减少 SYN+ACK 重传次数](#二、减少 SYN+ACK 重传次数)
- [三、开启 tcp_syncookies](#三、开启 tcp_syncookies)
一、增大 TCP 半连接队列
增大 TCP 半连接队列,需要同时增大三个参数:
- /proc/sys/net/ipv4/tcp_max_syn_backlog
- /proc/sys/net/core/somazconn
- listen() 函数的 backlog 参数
引申问题
为什么要同时增大这三个参数?详见TCP 半连接队列和全连接队列详解(结合 Linux 2.6.32 内核源码分析)
二、减少 SYN+ACK 重传次数
服务端受到 SYN 攻击时,会有大量处于 SYN_RCVD 状态的 TCP 连接,处于该状态的 TCP 会重传 SYN+ACK 报文,重传 tcp_synack_retries 次后,就会断开连接,我们可以通过减少 SYN+ACK 报文的重传次数,加快断开处于 SYN_RCVD 状态的 TCP 连接
三、开启 tcp_syncookies
我们先来看下 Linux 内核的「SYN 队列」和 「Accept 队列」是如何工作的?
开启 tcp_syncookies,可以在不使用「SYN 队列」的情况下建立 TCP 连接
- 「SYN 队列」满了的情况下,服务端不会丢弃后续收到的 SYN 报文,而是根据算法计算出 cookie 值,将其填入 TCP 首部的「序列号」字段后发送 SYN+ACK 报文给客户端
- 服务端收到客户端的 ACK 报文后,会检查其合法性,如果合法,将该连接放入「Accept 队列」中,最后应用程序通过调用 accpet() 接口从「Accept 队列」取出连接
/proc/sys/net/ipv4/tcp_syncookies 主要有三个值:
- 0:关闭该功能
- 1:「SYN 队列」放不下时,启用该功能
- 2:无条件启用该功能