如何在 C++ 中使用 Berkeley 套接字避免 DOS 攻击

Question

我正在阅读 Richard Stevens 编写的《UNIX 网络编程》第 1 卷，并尝试编写一个使用 Telnet 协议的 TCP Echo 客户端。我仍处于早期阶段并尝试编写读取和写入功能。

我想编写它以使用 I/O 多路复用和 Select 函数，因为它需要多客户端，并且我不想在尝试学习 Berkeley Sockets 库时尝试学习 C++ 线程同时。在 I/O 多路复用这一章的最后，Stevens 有一小节介绍 DOS 攻击，他说我计划使用的方法很容易受到 DOS 攻击，这种攻击只是在连接后发送一个字节，然后挂起。随后他提到了 3 种可能的解决方案 - 非阻塞 IO、线程（out）以及对 I/O 操作设置超时。

我的问题是，还有其他方法可以避免这种攻击吗？如果不是，那么哪个是最好的？我浏览了有关在操作上设置超时的部分，但它看起来不像我想做的事情。他建议的方法看起来相当复杂，我不知道如何将它们应用到我已有的方法中。我只看了一眼关于 NIO 的章节，看起来这就是现在要走的路，但在我再花几个小时仔细阅读这一章之前，我想看看是否还有其他方法可以解决这个问题。

有什么想法吗？

Answer 1

必读：C10K 问题

每个连接使用线程（或进程）可以编写非常简单的代码。连接数的限制实际上是系统可以轻松执行多任务的线程数的限制。

使用异步 IO 将所有套接字放入单个线程中并不是那么简单的代码（由 libevent 和 很好地包装） libev2），但更具可扩展性 - 它受到系统允许的打开文件句柄数量的限制，并且 - 例如在最近的 Linux 版本上 - 可以以百万计！出于这个原因，大多数 Web 服务器和其他服务器都使用异步 IO。

然而，您的服务器仍然是一种可能会耗尽的有限资源，并且存在比简单地耗尽处理新连接的能力更恶劣的攻击。

防火墙和损坏限制（例如备份、DMZ 等）是真正面向互联网的服务的基本要素。

Answer 2

...还有其他方法可以避免此类攻击吗？

是的，异步 I/O 是另一种通用方法。

如果问题是阻塞 read() 可能会无限期地挂起您的执行，那么您的一般对策是：

1. 使用多个执行线程

   多线程、多进程，两者兼而有之。

2. 对阻塞操作进行时间限制

   例如，瞬时（非阻塞 I/O）或非瞬时（SO_RCVTIMEO、alarm() 等）

3. 异步操作

   例如，aio_read

...其中哪一个最好？

对于新手，我建议将非阻塞 I/O 与限时的 select()/轮询()。您的应用程序可以跟踪连接是否在“足够短的时间内”生成了“足够的数据”（例如，整行）。

这是一种功能强大、可移植且常用的技术。

然而，更好的答案是“这取决于情况”。平台支持，更重要的是，这些选择的设计影响必须根据具体情况进行评估。

Answer 3

如果您刚刚开始学习套接字编程，您可能会更好
专注于套接字的基本功能，目前还不太担心安全问题。当您编写了一些客户端-服务器应用程序并彻底了解它们的工作原理后，您将能够更好地理解它们是如何崩溃的。。

保护面向互联网的网络应用程序免受恶意客户端的侵害绝非易事，可能涉及您提到的所有高级技术，还有一些！
例如，通常将某些责任从应用程序代码转移到路由器或防火墙级别。您可以限制仅访问受信任的主机，或者检测过多的连接尝试，并在流量到达您的应用程序之前限制或阻止它们。

Answer 4

我的问题是，还有其他方法可以避免这种攻击吗？

对于服务器，我希望在应用程序级别有一个计时器：

• 每个连接的输入数据缓冲区
• 哑套接字读取代码将数据从套接字读取到输入缓冲区
• 应用程序特定的代码解析输入缓冲区的内容

应用程序特定的代码可以终止与已允许空闲“太长时间”的输入缓冲区关联的连接。

这样做意味着异步 I/O，或专用 I/O 线程。

Answer 5

为了解决这个问题，我之前所做的（大约 1997 年：）是要求在一定时间内发送一个幻数，否则连接将关闭。

如果您有异步连接，则套接字不会被阻止，并且您将需要一个线程来轮询尚未发送有效命令的当前连接列表，并且如果在大约 20 毫秒后未收到消息这表示一个有效的命令，然后关闭该连接并执行您需要执行的任何清理操作。

这并不完美，但对于您当前关心的问题，它可能有助于解决它，并允许资源不会因建立太多连接而消耗。

所以它确实需要一个主线程和一个第二线程来进行清理，所以它不是单线程的。