Des cookies SYN non valides reçus, mais aucune syncookie n'a-t-elle été envoyée?

cat /proc/net/netstat montre que:

 SyncookiesSent:0 SyncookiesRecv:0 SyncookiesFailed:34954 

Nombre de mauvaises synchronisations sont reçues, mais le système n'émet pas de syncookie. Ce que je m'attends, c'est que les mauvaises administrations reçues sont less que les syncookies envoyées. Qui connaît la raison?

2.6.32:

 static struct sock *tcp_v4_hnd_req(struct sock *sk, struct sk_buff *skb) { struct tcphdr *th = tcp_hdr(skb); const struct iphdr *iph = ip_hdr(skb); struct sock *nsk; struct request_sock **prev; /* Find possible connection requests. */ struct request_sock *req = inet_csk_search_req(sk, &prev, th->source, iph->saddr, iph->daddr); if (req) return tcp_check_req(sk, skb, req, prev); nsk = inet_lookup_established(sock_net(sk), &tcp_hashinfo, iph->saddr, th->source, iph->daddr, th->dest, inet_iif(skb)); if (nsk) { if (nsk->sk_state != TCP_TIME_WAIT) { bh_lock_sock(nsk); return nsk; } inet_twsk_put(inet_twsk(nsk)); return NULL; } #ifdef CONFIG_SYN_COOKIES if (!th->rst && !th->syn && th->ack) sk = cookie_v4_check(sk, skb, &(IPCB(skb)->opt)); <== check received ack. #endif return sk; } 

One Solution collect form web for “Des cookies SYN non valides reçus, mais aucune syncookie n'a-t-elle été envoyée?”

Voici la section pertinente de cookie_v4_check dans net/ipv4/syncookies.c :

  if (tcp_synq_no_recent_overflow(sk) || (mss = cookie_check(skb, cookie)) == 0) { NET_INC_STATS_BH(sock_net(sk), LINUX_MIB_SYNCOOKIESFAILED); goto out; } NET_INC_STATS_BH(sock_net(sk), LINUX_MIB_SYNCOOKIESRECV); 

Donc si:

  1. Il y a eu un débordement récent nécessitant des cookies SYN, et
  2. Le cookie ne parvient pas à vérifier comme un package SYN régulier valide ou un cookie SYN,

alors SyncookiesFailed devient incrémenté. Sinon, SyncookiesRecv est incrémenté. Donc, si CONFIG_SYN_COOKIES est activé dans le kernel, et que vous avez été sous une nouvelle charge de connection qui l'exige, vous pourriez être SyncookiesRecv de SyncookiesRecv et SyncookiesRecv pour être positif (mais less). En l'état, il semble que les seuls que vous avez obtenus sont invalides.

Nous voyons des nombres similaires, et nous pensons que les règles par défaut d' UFW incluent la suppression de packages avec un état non valide, ce qui peut inclure des cookies SYN sortants et entrants. Vous voudrez peut-être vérifier votre configuration et vos journaux de pare-feu pour voir si des packages abandonnés sont en train de se produire.

Ou, vous pouvez simplement get des cookies SYN invalides, en raison d'un attaquant random. Dans ce cas, je m'attends à ce que certains cookies SYN soient envoyés.

  • Squid3 CONNECT imap.gmail.com:993 TCP_DENIED: NONE
  • Obtenir le nombre de connections établies par TCP
  • Problème de connection TCP entre Linux Machine et VMWare Windows Server
  • Transfert TCP sur SSH avec socat ou tout autre redirecteur tcp, sur sshd avec le renvoi tcp désactivé
  • Performance du canal de contrôle Bad Mumble chez KVM guest
  • Comment voir la taille réelle de tcp envoyer et recevoir des tampons?
  • Problème de packages TCP hors ordonnée
  • Augmentation de la bande passante avec de multiples NIC
  • Netstat rapporte une connection ESTABLISEE même après avoir tiré le cordon
  • login TCP bloquée dans l'état SYN_RECV malgré l'acceptation de l'ACK
  • Le pont Linux pont (brctl) n'est pas en attente de package IP lorsque le routeur est l'un des points d'extrémité du pont
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.