[歡迎進入討論] 關于syn-proxy的一些問題

dreamice

原帖由 Godbach 于 2009-3-16 11:15 發(fā)表


看來抗synflood和conntrack他倆之間的關系很緊密啊。要是想減輕conntrack的負載，就要在它之前做synflood的防御。如果向方便快捷的實現防御synflood，最好利用conntrack。 唉，矛盾啊

synflood和syncookie機制是不是差不太多？

Godbach

原帖由 dreamice 于 2009-3-16 11:19 發(fā)表


synflood和syncookie機制是不是差不太多？

可以利用SYNcookie機制應對synflood攻擊

獨孤九賤

不矛盾的，在實現中，很容易解決這個問題，或者說，事實上，它根本不存在。

1、首先，在pre_routing掛一個Hook，它監(jiān)聽所有的tcp syn包(這里也可以做一些過濾，比如，只保護指定的目的地址等等，或者是做一個緩存，存下已驗證正確的主機等等)。
2、偽造syn+ack，當然，是包含cookie的，因為這個回應的數量級非常之大，所以，效率很重要。
3、凡是收到ack，驗證cookie，這里并不需要狀態(tài)機。只要驗證cookie就可以了，這是跟syn proxy最核心的區(qū)別了。
4、如果cookie驗證不過，就不用多說了。如果過了，就要接下來偽裝跟服務器端的三次握手了。這樣的包才會被放進conntrack表，最多是需要做點小小的欺騙。
5、兩端三次握手OK后，后續(xù)數據包都要更改序列號，就是你一開始提的問題，因為序列號保存在ip_conntrack，自己也不用維護狀態(tài)機，很簡單，直接更改，重新計算校驗和就行了。

Godbach

1、首先，在pre_routing掛一個Hook，它監(jiān)聽所有的tcp syn包(這里也可以做一些過濾，比如，只保護指定的目的地址等等，或者是做一個緩存，存下已驗證正確的主機等等)。
2、偽造syn+ack，當然，是包含cookie的，因為這個回應的數量級非常之大，所以，效率很重要。
3、凡是收到ack，驗證cookie，這里并不需要狀態(tài)機。只要驗證cookie就可以了，這是跟syn proxy最核心的區(qū)別了。
4、如果cookie驗證不過，就不用多說了。如果過了，就要接下來偽裝跟服務器端的三次握手了。這樣的包才會被放進conntrack表，最多是需要做點小小的欺騙。
5、兩端三次握手OK后，后續(xù)數據包都要更改序列號，就是你一開始提的問題，因為序列號保存在ip_conntrack，自己也不用維護狀態(tài)機，很簡單，直接更改，重新計算校驗和就行了。

多謝啊。九賤兄的這個方法確實很不錯。

只是這里你在conntrack之前做了cookie驗證，那么你通過什么方式把這個差值告訴conntrrack呢？

獨孤九賤

你看我給你的數據結構應知道了。
通過了cookie驗證，則ip_conntrack中的相應自定義字段記錄cookie。而通過cookie處理的話，cookie一定是一個定值，否則為0。所以，如果cookie > 0，則應該處理seq，就這樣簡單噻。
實現這個框架其實不難，主要是cookie 的實現是現成的API,Netfilter的狀態(tài)機也是現成的，內核截包、組包的API還是現成的。自己動手多試幾回就整搞出來了，從Netfilter掛個Hook，自己動手截包偽裝三次握手開始。我覺得關鍵還是要完善它比較困難一些，就是讓它更快，更快…… 。

[ 本帖最后由 獨孤九賤 于 2009-3-16 11:41 編輯 ]

Godbach

原帖由 獨孤九賤 于 2009-3-16 11:40 發(fā)表
你看我給你的數據結構應知道了。
通過了cookie驗證，則ip_conntrack中的相應自定義字段記錄cookie。而通過cookie處理的話，cookie一定是一個定值，否則為0。所以，如果cookie > 0，則應該處理seq，就這樣簡單噻 ...

那在syn cookie驗證的過程中好像還得存儲一下報文的相關信息吧。

richardhesidu

原帖由 Godbach 于 2009-3-16 12:44 發(fā)表


那在syn cookie驗證的過程中好像還得存儲一下報文的相關信息吧。

主要是在防火墻向server發(fā)送syn包以后，它需要知道去截獲從server響應的怎么樣的syn+ack包吧。
所以我覺得總得有個地方存儲連接信息。

獨孤九賤

樓上的，你讓給服務器的syn請求穿過netfilter連接跟蹤表（事實上，如何是使用netfilter的狀態(tài)跟蹤，而不是自己來實現，也應該這樣做），這個信息不就有地方存儲了嗎？

dreamice

原帖由 獨孤九賤 于 2009-3-16 13:38 發(fā)表
樓上的，你讓給服務器的syn請求穿過netfilter連接跟蹤表（事實上，如何是使用netfilter的狀態(tài)跟蹤，而不是自己來實現，也應該這樣做），這個信息不就有地方存儲了嗎？

我比較贊同這種利用已有機制的實現方式，風險小，而且可行性要好一些。
本身netfilter的contrack機制就是比較好的。

richardhesidu

原帖由 獨孤九賤 于 2009-3-16 13:38 發(fā)表
樓上的，你讓給服務器的syn請求穿過netfilter連接跟蹤表（事實上，如何是使用netfilter的狀態(tài)跟蹤，而不是自己來實現，也應該這樣做），這個信息不就有地方存儲了嗎？

對哦。我對這個conntrack不熟悉。
多謝！