TCP SYN Cookies 的参数 内核怎么工作的

TCP SYN Cookies 是一种防止SYN Flood攻击的机制，它在内核中的工作流程如下：

1. 当一个TCP SYN 请求到达内核时，内核会检查当前系统的连接队列是否已满。如果队列已满，则内核会使用 TCP SYN Cookies 机制。

2. 内核会将一部分 SYN 请求的 TCP 序列号和一些额外的信息进行哈希运算，生成一个唯一的 cookie 值，并将 cookie 值填充到 SYN/ACK 的 TCP 序列号字段中。

3. 当客户端收到带有 cookie 值的 SYN/ACK 消息时，它会将 cookie 值解码，并使用 cookie 值作为 TCP 序列号发送 ACK 消息。

4. 当服务端收到客户端的 ACK 消息时，它会再次对 cookie 值进行哈希运算，验证 cookie 值的有效性。如果验证通过，则将连接加入到连接队列中，并向客户端发送 ACK 消息。

在这个过程中，内核需要设置一些参数来控制 TCP SYN Cookies 机制的行为：

1. net.ipv4.tcp_syncookies：该参数用于控制内核是否启用 TCP SYN Cookies 机制。当该参数为 1 时，内核启用 TCP SYN Cookies 机制；当该参数为 0 时，内核关闭 TCP SYN Cookies 机制。

2. net.ipv4.tcp_synack_retries：该参数用于控制内核在等待客户端 ACK 消息的重试次数。当客户端未响应时，内核会重新发送 SYN/ACK 消息，并等待客户端的 ACK 消息。当重试次数超过该参数指定的次数时，内核会丢弃连接请求。

3. net.ipv4.tcp_syn_retries：该参数用于控制内核在等待客户端 SYN 消息的重试次数。当服务端未收到客户端的 SYN 消息时，内核会重新发送 SYN/ACK 消息，并等待客户端的 SYN 消息。当重试次数超过该参数指定的次数时，内核会丢弃连接请求。

4. net.ipv4.tcp_max_syn_backlog：该参数用于控制内核连接队列的最大长度。当连接队列已满时，内核会启用 TCP SYN Cookies 机制。

总之，TCP SYN Cookies 机制是一种有效的防止 SYN Flood 攻击的机制，它可以帮助内核在连接队列已满时仍能够正常处理客户端的连接请求。