TCP的SYN Cookie机制详解

一、机制描述
SYN Cookie是一种防御SYN Flood攻击的技术，由Daniel J. Bernstein提出。当服务器检测到可能遭受SYN Flood攻击时，会启用此机制。其核心思想是：在TCP三次握手过程中，服务器不立即分配资源存储连接状态，而是通过计算生成一个特殊的序列号（即SYN Cookie）作为初始序列号返回给客户端。仅当收到客户端的ACK确认后，服务器才分配资源建立连接。

二、工作机制详解

步骤1：攻击检测与机制触发

• 服务器监控半连接队列（SYN队列）长度
• 当队列长度超过阈值（如超过最大长度的50%），判定可能遭受攻击
• 自动切换至SYN Cookie模式，不再维护半连接队列

步骤2：SYN Cookie生成（服务器端）
服务器收到SYN包时，通过以下参数计算Cookie值：

Cookie = Hash(源IP、源端口、目标IP、目标端口、随机种子) mod 2^24

具体计算过程：

1. 取当前时间戳（精确到分钟）的低6位作为t
2. 使用HMAC算法对五元组信息加密得到mss摘要
3. 组合生成序列号：seq = (t << 24) | (mss << 16) | HMAC_signature

步骤3：SYN-ACK响应

• 服务器使用计算的Cookie值作为初始序列号
• 不分配TCB（传输控制块）存储连接信息
• 发送SYN-ACK包后立即释放相关资源

步骤4：Cookie验证（收到ACK时）
服务器收到ACK包后验证：

1. 提取确认号ack_num：ack_num-1即为原始Cookie值
2. 检查时间戳t是否在有效期内（通常2分钟）
3. 重新计算HMAC签名，与Cookie中的签名比对
4. 验证通过后，从Cookie中提取协商的MSS值

步骤5：连接建立

• 验证通过：分配TCB资源，完成连接建立
• 验证失败：直接丢弃ACK包，不进行任何响应

三、技术特点分析

优势：

• 完全防御SYN Flood攻击：攻击者无法伪造合法ACK
• 无状态设计：服务器不维护半连接队列，避免资源耗尽
• 向后兼容：客户端无需任何修改即可正常工作

局限性：

• 不支持所有TCP选项：因Cookie长度限制，部分选项无法在SYN-ACK中协商
• 计算开销：需要额外的哈希计算，可能增加CPU负载
• 时间精度要求：服务器与客户端时间不能相差过大

四、实际应用
在Linux系统中可通过以下方式配置：

# 启用SYN Cookie
echo 1 > /proc/sys/net/ipv4/tcp_syncookies

# 调整触发阈值（当SYN队列长度超过128时启用）
echo 128 > /proc/sys/net/ipv4/tcp_max_syn_backlog

这种机制在保证服务可用性的同时，实现了对SYN Flood攻击的有效防御。