关于DDOS攻击中TCP半连接数与FD的关系

  • TCP最大连接数

  在tcp应用中,server事先在某个固定端口监听,client主动发起连接,经过三路握手后建立tcp连接。那么对单机,其最大并发tcp连接数是多少?

  • 理论最大值

  在确定最大连接数之前,先来看看系统如何标识一个tcp连接。系统用一个4四元组来唯一标识一个TCP连接: {local ip, local port,remote ip,remote port} 。server最大tcp连接数server通常固定在某个本地端口上监听,等待client的连接请求。不考虑地址重用(unix的SO_REUSEADDR选项)的情况下,即使server端有多个ip,本地监听端口也是独占的,因此server端tcp连接4元组中只有remote ip(也就是client ip)和remote port(客户端port)是可变的,因此最大tcp连接为客户端ip数×客户端port数,对IPV4,不考虑ip地址分类等因素,最大tcp连接数约为2的32次方(ip数)×2的16次方(port数),也就是server端单机最大tcp连接数约为2的48次方。

  • 实际的tcp连接数

  上面给出的是理论上的单机最大连接数,在实际环境中,受到机器资源、操作系统等的限制,特别是sever端,其最大并发tcp连接数远不能达到理论上限。在unix/linux下限制连接数的主要因素是内存和允许的文件描述符个数(每个tcp连接都要占用一定内存,每个socket就是一个文件描述符),另外1024以下的端口通常为保留端口。在默认2.6内核配置下,经过试验,每个socket占用内存在15~20k之间。那么也就是说tcp连接数与内存以及允许的最大描述符个数有关。对server端,通过增加内存、修改最大文件描述符(FD)个数等参数,单机最大并发TCP连接数超过10万 是没问题的。那么问题就来了,对于DDoS攻击,是如何进行的呐?

  • 针对于DDOS攻击的TCP半连接数

  在DDOS攻击中,假如服务器允许的TCP连接数超大,服务器内存超大,那么攻击者针对于此种情况往往是发送大量TCP半连接请求,使得连接数超过FD的最大值或者说FD没有超过最大值,但是维护FD的内存之和超过服务器内存,因为FD数对应与连接数,而大量半连接需要去维护需要大量内存,使得服务器无法处理。另外,如果服务器采用select/poll模式进行多路服用,那为此消耗的CPU资源也同样是可怕的。因此针对于DDOS攻击,我们要做的就是限制半连接数的数目,使得它不会影响正常的请求,同时采用epoll模式进行I/O多路复用。这里简单的介绍一下epoll和select/poll:

  epollLinux下多路复用IO接口select/poll的增强版本,它能显著提高程序在大量并发连接中只有少量活跃的情况下的系统CPU利用率,因为它会复用文件描述符集 合来传递结果而不用迫使开发者每次等待事件之前都必须重新准备要被侦听的文件描述符集合,另一点原因就是获取事件的时候,它无须遍历整个被侦听的描述符 集,只要遍历那些被内核IO事件异步唤醒而加入Ready队列的描述符集合就行了。epoll除了提供select/poll那种IO事件的电平触发 (Level Triggered)外,还提供了边沿触发(Edge Triggered),这就使得用户空间程序有可能缓存IO状态,减少epoll_wait/epoll_pwait的调用,提高应用程序效率.ET只读取一次数据(就算没读完也不在通知,直到状态改变),而LT只要还有数据就会一直通知,直到读完。

时间: 2024-10-19 19:34:43

关于DDOS攻击中TCP半连接数与FD的关系的相关文章

解决DataSnap支持的Tcp长连接数受限的两种方法

如何解决DataSnap支持的Tcp长连接数受限的问题? 方案一: 采用代理服务器方式,基本流程为: 1.客户先连接代理服务器:2.获取可用的服务器IP和端口:3.关闭与代理服务器之间的连接:4.建立与可用服务器之间的连接.而且在第2步中可以实现负载均衡的配置与实现.博主最近对一个机房管理系统升级采用的就是此方案,学校(某一高新)公共机房现有机房50间左右,每间机房60台机器(标准配置),现有客户端3000台左右,以后肯定还要扩容更新的,故以5000个客户端为正常容量.因为要实时检测学生的的状态

unp第七章补充之TCP半开连接与半闭连接

半打开(Half-Open)连接和半关闭(Half-Close)连接.TCP是一个全双工(Full-Duplex)协议,因此这里的半连接"半"字就是相对于全双工的"全"来说的. 一.半开连接 从协议定义的角度来说,TCP的半开连接是指TCP连接的一端异常崩溃,或者在未通知对端的情况下关闭连接,这种情况下不可以正常收发数据,否则会产生RST(后面内容我们在介绍RST).比如一个常见的情况是TCP连接的一端异常断电,就会导致TCP的半开连接.如果没有数据传输,对端就不会

jmeter测试接口-打开很多TCP的连接数TIME_WAIT状态(Linux环境)导致报错的解决方法

一 发现问题: 服务器是Linux系统,用jmeter测试接口,发现打开很多的TCP连接,[[email protected] bin]# ulimit -n 65535用这个命令设置了总的连接数:进行压测的时候,连接数可能达到50000以上,很容易报错:查看各个状态的TCP个数:netstat -an | awk '/^tcp/ {++s[$NF]} END {for(a in s) print a,s[a]}',发现连接状态TIME_WAIT的状态很多,(统计80端口连接数netstat -

android 网络编程--socket tcp/ip udp http之间的关系

网络七层由下往上分别为物理层.数据链路层.网络层.传输层.会话层.表示层和应用层,一般编程人员接触最多的就是应用层和运输层,再往下的就是所谓的媒体层了,不是我们研究的对象. 下面是应用层.运输层,网络层.链路层通信协议概图.我们经常接触到的一般是: http协议:应用层协议,并且http协议是基于tcp连接的,主要解决的是如何包装协议的 tcp协议:运输层协议,通常也叫做tcp/ip协议,主要解决数据如何在网络中传输 udp协议:运输层协议,用户数据报协议,不可靠的协议,只负责把应用层的协议的数

DDos攻与防

DDos(Distributed Denial of Service),分布式拒绝服务,在游戏.在线业务等方面常会发现这样的攻击,一般是竞争对手所为.那DDOS攻击的方式有哪些呢? 1流量攻击(四层) 主要是针对网络带宽的攻击,即大量攻击包导致网络带宽被阻塞,合法网络包被虚假的攻击包淹没而无法到达主机. 1.1 SYN/ACK Flood攻击 这个是很古老的攻击方法了,不过前期还是挺凑效的,主要是通过向受害主机发送大量伪造源IP和源端口的SYN或ACK 包,导致主机的缓存资源被耗尽或忙于发送回应

ASA防火墙的TCP半开设置

ASA(config)# class-map CONNS        先定义一个类 ASA(config-cmap)# match any          匹配所有流量 ASA(config-cmap)# policy-map CONNS     再定义一个策略 ASA(config-pmap)# class CONNS       关联刚才定义的那个类 ASA(config-pmap-c)# set connection conn-max 100 embryonic-conn-max 30

DDoS防护之TCP防护

TCP协议,相信对于每一个开发工程师都不陌生.由于该协议是一个面向连接,可靠的特性,广泛应用于现在互联网的应用中.如常见的Web.SSH.FTP等都是基于TCP协议.目前TCP协议占全网的流量达到80%,因此这也成为黑客主要攻击的类别. 例如在2016年,造成美国大半个互联网下线的Dyn事件,10月21日,提供动态DNS服务的Dyn DNS遭到了大规模DDoS攻击,攻击主要影响其位于美国东区的服务.此次攻击导致许多使用DynDNS服务的网站遭遇访问问题,其中包括 GitHub.Twitter.A

Linux下TCP最大连接数受限问题

一. 文件数限制修改1.用户级别查看Linux系统用户最大打开文件限制:# ulimit -n1024 (1) vi /etc/security/limits.confmysql soft nofile 10240mysql hard nofile 10240其中mysql指定了要修改哪个用户的打开文件数限制.可用'*'号表示修改所有用户的限制:soft或hard指定要修改软限制还是硬限制:10240则指定了想要修改的新的限制值,即最大打开文件数(请注意软限制值要小于或等于硬限制). (2) v

测试Linux下tcp最大连接数限制

现在做服务器开发不加上高并发根本没脸出门,所以为了以后吹水被别人怼“天天提高并发,你自己实现的最高并发是多少”的时候能义正言辞的怼回去,趁着元旦在家没事决定自己写个demo搞一搞. 这个测试主要是想搞明白Linux下哪些参数配置限制了连接数的最大值,上限是多少. 一.先说下demo的思路: 服务端用epoll实现,就是简简单单的接收连接,然后客户端用go的goroutine,每个goroutine就是简单的建立连接,然后什么也不做. 上代码: server: 1 /* 2 * g++ -o te