1. ネコでも分かる
SYN cookies
こおしいず
このスライドは開発中版であり、たぶん嘘も含まれます
c o o k i e s

2. DNS, TCP, UDP, IP
OSI参照モデル
* HTTP, DNS
* SSL,TLS
* SIP
* TCP, UDP
* IP, IPsec, ICMP
* Ethernet, PPP, ATM
* 100BASE-TX
https://ansl-
blog.hatenablog.com/entry/2019/05/22/OSI%E5%8F%82%E7%85%A7%E3%83%A2%E3%83%87%E3%83%AB%E3%81%A8TCP%
EF%BC%8FIP%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6
Wikipedia調べ

3. IP

4. IP packet
https://ja.wikipedia.org/wiki/IPv4

5. IP packet
ここにTCP / UDPのパケット構造が載る
https://ja.wikipedia.org/wiki/IPv4

6. IP
1.2.3.4
5.6.7.8
IP packet
src: 1.2.3.4
dst: 5.6.7.8
data

7. IP
1.2.3.4
5.6.7.8
IP packet
src: 1.2.3.4
dst: 5.6.7.8
data

8. IP
1.2.3.4
5.6.7.8
IP packet
src: 5.6.7.8
dst: 1.2.3.4
data

9. IP
1.2.3.4
5.6.7.8
IP packet
src: 5.6.7.8
dst: 1.2.3.4
data

10. IP spoofing
1.2.3.4
5.6.7.8
IP packet
src: 4.3.2.1
dst: 5.6.7.8
data

11. IP spoofing
1.2.3.4
5.6.7.8
IP packet
src: 4.3.2.1
dst: 5.6.7.8
data

12. IP spoofing
1.2.3.4
5.6.7.8
IP packet
src: 5.6.7.8
dst: 4.3.2.1
data

13. IP spoofing
1.2.3.4
5.6.7.8
IP packet
src: 5.6.7.8
dst: 4.3.2.1
data
4.3.2.1

14. IP w/ TCP

15. TCP 3way handshake
1. SYN
2. SYN ACK
3. ACK
4. (実データ転送...)
https://www.infraexpert.com/study/tcpip9.html

16. TCP state
https://users.cs.northwestern.edu/~agupta/cs340/proj
ect2/TCPIP_State_Transition_Diagram.pdf

17. IP spoofing with TCP
1.2.3.4
5.6.7.8
IP packet
src: 4.3.2.1
dst: 5.6.7.8
SYN
SYN_SENT
LISTEN

18. IP spoofing with TCP
1.2.3.4
5.6.7.8
IP packet
src: 4.3.2.1
dst: 5.6.7.8
SYN
SYN_SENT
LISTEN

19. IP spoofing with TCP
1.2.3.4
5.6.7.8
IP packet
src: 5.6.7.8
dst: 4.3.2.1
SYN ACK
SYN_RCVD
SYN_SENT

20. IP spoofing with TCP
1.2.3.4
5.6.7.8
IP packet
src: 5.6.7.8
dst: 4.3.2.1
SYN ACK
4.3.2.1
CLOSED
は？誰？
SYN_RCVD
SYN_SENT

21. IP spoofing with TCP
1.2.3.4
5.6.7.8
4.3.2.1
CLOSED
は？誰？
SYN_RCVD
SYN_SENT
めでたし...?

22. IP spoofing with TCP
1.2.3.4
5.6.7.8
4.3.2.1
CLOSED
は？誰？
SYN_RCVD
5.6.7.8で資源枯渇する [SYN flood]
TCP stateの記憶のために、メモリ
を消費する。
SYN_SENT

23. SYN cookies

24. TCP 3way handshake
1. SYN
2. SYN ACK
3. ACK
4. (実データ転送...)
https://www.infraexpert.com/study/tcpip9.html

25. TCP 3way handshake
続きを読む
https://www.infraexpert.com/study/tcpip9.html

26. TCP 3way handshake
https://www.infraexpert.com/study/tcpip9.html
続きを読む
初期シーケンス番号(seq#)は任意。
clientからの初期seq#は任意が来る。
serverからの初期seq#は任意に選ぶ。

27. TCP seq#, ack#(確認応答番号)
https://www.infraexpert.com/study/tcpip9.html
互いに、
● seq#が来たら、
● データサイズを加算し、
● ack#に入れて
返答をする必要がある。
来たpacketのack#は、直前に送った
seq#と矛盾していてはならない。
（善人的に見れば、パケットが一部
遅延/欠損したことを示す）

28. SYN cookies
賢い人「任意で良いところの初期seq#をうまく調整すれば、SYN_RECV時点で
はメモリ確保しなくていいんじゃね？」
初期seq# := f (counter, MSS, Client IP, Client port#, Server IP, Server port#)
● MSS … クライアントとサーバー間で合意しなければならないTCPの最大ペ
イロード長。IPでいうMTU。
これで多少パフォーマンスを犠牲に
しながら、サーバー側のメモリ確保を
遅延できる。
http://cr.yp.to/syncookies.html

29. IP with TCP with SYN cookies
1.2.3.4
5.6.7.8
IP packet
src: 1.2.3.4
dst: 5.6.7.8
SYN
seq: x
SYN_SENT
LISTEN

30. IP with TCP with SYN cookies
1.2.3.4
5.6.7.8
SYN_SENT
LISTEN
IP packet
src: 1.2.3.4
dst: 5.6.7.8
SYN
seq: x

31. IP with TCP with SYN cookies
1.2.3.4
5.6.7.8
(stateless)
SYN_SENT
IP packet
src: 5.6.7.8
dst: 1.2.3.4
SYN ACK
seq: f(...)
ack: x+1

32. IP with TCP with SYN cookies
1.2.3.4
5.6.7.8
(stateless)
IP packet
src: 5.6.7.8
dst: 1.2.3.4
SYN ACK
seq: f(...)
ack: x+1
SYN_SENT

33. IP with TCP with SYN cookies
1.2.3.4
5.6.7.8
(stateless)
IP packet
src: 1.2.3.4
dst: 5.6.7.8
ACK
seq: x+1
ack: f(...)+1
ESTAB

34. IP with TCP with SYN cookies
1.2.3.4
5.6.7.8
(stateless)
IP packet
src: 1.2.3.4
dst: 5.6.7.8
ACK
seq: x+1
ack: f(...)+1
ESTAB

35. IP with TCP with SYN cookies
1.2.3.4
5.6.7.8
(stateless)
IP packet
src: 1.2.3.4
dst: 5.6.7.8
ACK
seq: x+1
ack: f(...)+1
ESTAB
Client IPなどから算出したf(...)の値
を使って、ack#の妥当性検査

36. IP with TCP with SYN cookies
1.2.3.4
5.6.7.8
ESTAB !!!
IP packet
src: 1.2.3.4
dst: 5.6.7.8
ACK
seq: x+1
ack: f(...)+1
ESTAB
サーバ側で初めてメモリを確保

37. SYN cookies
SYN後のSYN ACKレスポンスを受け取ってないと、適切なack#つきでのACKが
送れない。
secret functionが適切であれば、24bitの値を当てるのはむずかしい。
http://cr.yp.to/syncookies.html