[转] 结合linux内核源码理解SYN_RECV状态

************************************************************************************************************************************************************
结合linux内核源码理解SYN_RECV状态
************************************************************************************************************************************************************

(以下基于linux内核2.4.0)
SYN_RECV状态，顾名思义，是收到SYN包后应该置的状态。关于SYN_RECV状态,受某些教科书的误导,我以前一直理解为服务器收到SYN包后应该置此状态。也没细想到底是置那个socket的状态，最近在看三次握手协议在linux内核中的实现时,才仔细思考这个问题应该是置连接套接字的状态而非监听套接字的状态。
通常,SYN包只用于TCP三次握手协议中。常见的tcp三次握手协议过程(当然还有同时连接、
半连接等其它一些情况)如下：
1、client SYN包---> server
2、client <---SYN包/ACK包 server
3、client ACK包---> server
根据tcp状态图,对应下述4个状态的变化
a、client发送完毕，状态变成SYN_SEND;
b、server收到SYN报并发送ack确认包和SYN包，状态变为SYN_RECV
c、client发送ack包完毕，状态变成ESTABLISHED
d、server发送ack包完毕，状态变成ESTABLISHED

在linux内核中,上述几个状态对应为TCP_SYN_SEND、TCP_SYN_RECV、TCP_ESTABLISHED.
RFC793中关于SYN_RECV状态的描述如下：
SYN-RECEIVED - represents waiting for a confirming connection
request acknowledgment after having both received and sent a
connection request.
从上面可以看出,这个状态是在本端接收到对端连接请求,并发送连接对端请求后,等待对端应答时所置的状态。所以,本质上连接的过程是双方请求应答的来回,应该称四次握手,只是常见的应用以c/s模式为主,而linux、包括绝大部分操作系统都把服务器端的应答和请求封装在一个包里面。
但在linux内核中,却是在监听套接字收到了客户端的ACK包后,才创建连接套接字并初始化为TCP_SYN_RECV状态,如下函数调用关系：
tcp_v4_rcv-->tcp_v4_do_rcv-->tcp_v4_hnd_req-->tcp_check_req-->
tcp_v4_syn_recv_sock-->tcp_create_openreq_child...
struct sock *tcp_create_openreq_child(struct sock *sk, struct open_request *req, struct sk_buff *skb)
{
struct sock *newsk = sk_alloc(PF_INET, GFP_ATOMIC, 0); /*创建连接sock结构*/

if(newsk != NULL) {
struct tcp_opt *newtp;
...
memcpy(newsk, sk, sizeof(*newsk));
newsk->state = TCP_SYN_RECV; /*置初始状态为SYN_RECV*/

//以下为一些初始化newsk结构的操作
...
}
这里似乎都正常了，但还有一点,服务器收到ACK包后，状态应该改为连接状态,而此时连接套接字的状态还是TCP_SYN_RECV
原因在于现在对ack包还没处理完,^_^,如下：
int tcp_v4_do_rcv(struct sock *sk, struct sk_buff *skb)
{
...
if (sk->state == TCP_LISTEN) { //此处是监听套接字的状态
struct sock *nsk = tcp_v4_hnd_req(sk, skb); //获得了上面讲的连接套接字
if (!nsk)
goto discard;

if (nsk != sk) { //显然监听与连接套接字不等
if (tcp_child_process(sk, nsk, skb)) //此处调用tcp_rcv_state_process置套接字为连接建立状态
goto reset;
return 0;
}
}
...
}

可见,在linux内核中,SYN_RECV状态的保持时间是非常短暂的(也很难创建条件让此状态保持),这也是我们实际应用中通过netstat基本看不到这个状态的原因。

************************************************************************************************************************************************************
      .对于大量的 SYN_RECV

************************************************************************************************************************************************************
　　若怀疑是SYN Flood攻击，有以下建议:

　　这个攻击的解决方法如下：

　　1，增加未完成连接队列（q0)的最大长度。

　　echo 1280>/proc/sys/net/ipv4/tcp_max_syn_backlog

　　2, 启动SYN_cookie。

　　echo 1>/proc/sys/net/ipv4/tcp_syncookies

　　这些是被动的方法，治标不治本。而且加大了服务器的负担，但是可以避免被拒绝攻击（只是减缓）

　　治本的方法是在防火墙上做手脚。但是现在能在一定程度上防住syn flood攻击的防火墙都不便宜。并且把这个命令加入"/etc/rc.d/rc.local"文件中

　　如果对 /proc/sys/net/ipv4 下的配置文件进行解释，可以参阅 LinuxAid技术站的文章。查看本文全文也可以参阅。

　　关于 syn cookies， 请参阅 <> http://cr.yp.to/syncookies.html

　　也许 使用mod_limitipconn.c来限制apache的并发数 也会有一定的帮助。

　　2. iptables的设置，引用自CU

　　防止同步包洪水（Sync Flood）

　　# iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

　　也有人写作

　　#iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT

　　--limit 1/s 限制syn并发数每秒1次，可以根据自己的需要修改

　　防止各种端口扫描

　　# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

　　Ping洪水攻击（Ping of Death）

　　# iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT