关于 Sockstress

简述

Sockstress 是一种利用 TCP 协议半连接漏洞 实施的 DoS（拒绝服务）攻击技术 / 工具，核心目标是耗尽目标服务器的 TCP 套接字（socket）资源，导致合法用户无法建立连接，最终服务瘫痪。

Sockstress 攻击核心原理

Sockstress 攻击的本质是 滥用 TCP 三次握手机制，通过构造特殊 TCP 连接请求，占据目标服务器的半连接队列与 socket 资源，具体流程：

攻击者向目标服务器发送大量 TCP SYN 包（连接请求），同时伪造源 IP（隐藏真实地址）。服务器收到 SYN 包后，会分配 socket 资源并返回 SYN-ACK 包（确认连接），进入 SYN_RECV 半连接状态。攻击者故意不发送最终的 ACK 包（不完成三次握手），也不关闭连接，导致服务器的半连接队列被持续占满。服务器的 socket 资源（端口、内存、文件描述符）有限，被耗尽后无法接收新的合法 SYN 请求，最终拒绝服务。

关键差异：与传统 SYN Flood 攻击相比，Sockstress 能以 更少的流量消耗更多服务器资源（单攻击者可伪造大量虚拟源 IP，每个 IP 占用一个半连接）。

Sockstress 攻击典型特征

通过网络监控可快速识别此类攻击，核心特征：

目标服务器的 TCP 半连接数（SYN_RECV 状态）激增，远超正常阈值（如默认 Linux 半连接队列容量仅 128）。网络中出现大量来源分散的 SYN 包，源 IP 随机伪造（无固定网段），目标端口多为服务器开放端口（如 80、443、3306）。服务器 CPU 使用率可能正常，但 端口资源耗尽（netstat 命令显示大量处于 SYN_RECV 状态的连接），合法用户无法建立 TCP 连接。攻击流量以 SYN 包为主，无后续 ACK 包响应，属于 “单向流量攻击”。

Sockstress 攻击的主要危害

直接导致服务器核心服务（如 Web、数据库、远程登录）不可用，影响业务正常运行。消耗服务器网络带宽与系统资源，即使攻击停止，也需一段时间释放半连接资源，恢复服务延迟。可能被攻击者结合其他攻击（如端口扫描、漏洞利用），作为 “敲门砖” 先瘫痪防护系统，再实施后续入侵。

Sockstress 攻击的防御措施

1. 网络设备层面（防火墙 / 路由器）

开启 SYN 洪水防护（SYN Flood Protection），限制单位时间内来自同一源 IP 的 SYN 包数量（如每秒不超过 50 个）。配置 SYN 代理（SYN Proxy）：由防火墙代替服务器接收 SYN 包，完成三次握手后再转发给服务器，过滤无效半连接。启用 源 IP 验证，阻断伪造的内网 IP、保留地址段（如 192.168.0.0/16）的 SYN 包，减少无效攻击流量。

2. 服务器系统层面（Windows/Linux）

调整 TCP 半连接队列参数，扩大队列容量：
Linux：修改 
/etc/sysctl.conf，设置 
net.ipv4.tcp_max_syn_backlog = 10240（默认 128），执行 
sysctl -p 生效。Windows：修改注册表 
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters，添加 
TCPMaxSynBackLog 键值（十进制 10240）。
启用 TCP SYN Cookie：当半连接队列满时，通过加密算法生成 SYN Cookie 代替队列存储，避免资源耗尽（Linux 执行 
sysctl -w net.ipv4.tcp_syncookies = 1）。限制 TIME_WAIT 状态连接的存活时间：Linux 设置 
net.ipv4.tcp_fin_timeout = 30（默认 60 秒），加速资源释放。

3. 工具检测与监控

实时监控连接状态：Linux 用 
netstat -nat | grep SYN_RECV | wc -l，Windows 用 
netstat -an | find /i "syn_recv"，定期排查半连接数异常。用 Wireshark 过滤规则 
tcp.flags.syn == 1 and tcp.flags.ack == 0，捕捉大量异常 SYN 包，确认攻击来源与特征。部署 DDoS 防护设备（如阿里云高防、华为云 DDoS 防护），针对 SYN Flood 类攻击进行流量清洗。