SYN-cookie

### SYN-cookie 技术原理

SYN-cookie 是一种用于抵御 SYN 泛洪攻击的技术，在不使用额外资源的情况下处理连接请求。当服务器接收到客户端发送的初始 SYN 请求时，并不会立即分配内存空间来保存半开连接的状态，而是通过特定算法计算出一个加密数值作为序列号返回给客户端。

#### 序列号生成机制

为了防止恶意用户猜测到合法的 ACK 响应包中的确认序号，SYN-cookie 使用了一个基于时间戳和其他参数（如源地址、目的端口等）组合而成的秘密函数来生成临时序列号[^1]。

uint32_t make_syn_cookie(uint32_t saddr, uint16_t sport,
                        uint32_t daddr, uint16_t dport,
                        uint8_t *data, int datalen) {
    struct tcp_opt opt;
    unsigned long now = jiffies; /* 获取当前内核时间 */
    
    // 计算选项字段
    compute_tcpopts(&opt, data, datalen);
    
    // 构建并返回合成的cookie值
    return secure_tcp_sequence_number(saddr, sport, daddr, dport, &opt, now);
}

此方法确保即使在遭受大量伪造的 SYN 数据包冲击期间也能正常工作而不耗尽系统资源。

#### 连接建立流程

一旦客户端回应带有正确 ACK 的数据包回来之后，服务端会解析其中的信息重新构建原始 TCP 三次握手过程中丢失掉的那个中间状态：

- 提取 IP 地址和端口号信息；
- 解码嵌入于 ACK 号内的附加信息以恢复 MSS 和其他可能存在的可选参数；
- 验证解密后的结果是否合理有效；

只有当上述验证成功后才会正式创建新的套接字对象完成整个连接初始化过程[^2]。

### 实现方式差异

值得注意的是不同操作系统对于 SYN-cookie 的具体实现存在细微差别。例如 Linux 内核版本间可能存在不同的优化策略或默认配置项影响实际效果。而在某些高性能网络设备上可能会有更复杂高效的变种形式比如 LVS 中提到的 syn-proxy 或者 XDP 层面的支持[^3]。