[Linux 文章收集] Linux 關於連接狀態 SYN_RECV之學習

來源自 這裡
Preface:
在查看服務器TCP 連接中，無論在PHP 、GW 等Server 中，會發現 SYN_RECV 這個連接信息，整理了相關的資料，學習下。首先可以通過下面這個命令來統計當前連接數:

# netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'

一個執行範例如下:


TCP 狀態說明:
SYN_RECV 表示正在等待處理的請求數；ESTABLISHED 表示正常數據傳輸狀態；TIME_WAIT 表示處理完畢，等待超時結束的請求數。

狀態：描述
CLOSED ：無連接是活動的或正在進行
LISTEN ：服務器在等待進入呼叫
SYN_RECV ：一個連接請求已經到達，等待確認
SYN_SENT ：應用已經開始，打開一個連接
ESTABLISHED ：正常數據傳輸狀態
FIN_WAIT1 ：應用說它已經完成
FIN_WAIT2 ：另一邊已同意釋放
ITMED_WAIT ：等待所有分組死掉
CLOSING ：兩邊同時嘗試關閉
TIME_WAIT ：另一邊已初始化一個釋放
LAST_ACK ：等待所有分組死掉

iptables 應用範例:
另外很多人會用到TCP SYN Flood 透過網路底層對服務器Server 進行攻擊的，我可以用 Iptables 防範下:
防止同步包洪水（Sync Flood ）

# iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
或
# iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT

--limit 1/s 限制syn 並發數每秒1 次，可以根據自己的需要修改.

防止各種端口掃描

# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

Ping 洪水攻擊（Ping of Death ）
# iptables -A FORWARD -p icmp --icmp-type echo-r​​equest -m limit --limit 1/s -j ACCEPT

同時，在初始化系統過程中，可以對服務器的數據連接做設置，下面簡單的設置下，如果有關於這方面的設置:

# vi m /etc/sysctl.conf

view plaincopy to clipboardprint?

1. net.ipv4.tcp_tw_reuse = 1  
2. # 該文件表示是否允許重新應用處於TIME-WAIT 狀態的socket 用於新的TCP 連接。  
3. net.ipv4.tcp_tw_recycle = 1  
4. # recyse 是加速TIME-WAIT sockets 回收  
5. net.ipv4.tcp_syncookies = 1  
6. # 表示開啟SYN Cookies 。當出現SYN 等待隊列溢出時，啟用cookies 來處理，可防範少量SYN 攻擊，默認為0 ，表示關閉；  
7. net.ipv4.tcp_synack_retries = 1   
8. net.ipv4.tcp_keepalive_time = 1200  
9. # 表示當keepalive 起用的時候,TCP 發送keepalive 消息的頻度。缺省是2 小時  
10. net.ipv4.tcp_fin_timeout = 30  
11. # fin_wait1 狀態是在發起端主動要求關閉tcp 連接，並且主動發送fin 以後，等待接收端回复ack 時候的狀態。  
12. # 對於本端斷開的socket 連接，TCP 保持在FIN-WAIT-2 狀態的時間。對方可能會斷開連接或一直不結束連接或不可預料的進程死亡。  
13. net.ipv4.ip_local_port_range = 1024 65000   
14. net.ipv4.tcp_max_syn_backlog = 8192  
15. # 該文件指定了，在接口接收數據包的速率比內核處理這些包的速率快時，允許送到隊列的數據包的最大數目。  
16. net.ipv4.tcp_max_tw_buckets = 5000  

# sysctl -p // 使設置生效

Supplement:
* Wiki: Transmission Control Protocol