TCP Cookie 传输

TCP Cookie 传输（英文：TCP Cookie Transcations）是一个实验性的传输控制协议拓展，在RFC 6013中定义，用于保护TCP连接免于拒绝服务攻击，例如通过SYN Flood和第三方的恶意连接中止耗尽目标资源。^[1]不像原有的 SYN cookies 方法，^[2] TCPCT 不会和其它 TCP 拓展冲突, 但是要求客户端（发起者）和服务器（响应者）都支持这一拓展。^[3]

开发这个拓展的直接原因是 DNSSEC 协议的部署。在 DNSSEC 出现前，DNS 请求主要使用小型 UDP 数据包，但是由于 DNSSEC 数据交换的大小和IP分片的缺点，UDP 对 DNSSEC 来说并不怎么现实。^[4]^[5]于是采用 DNSSEC 的请求会创建极多的短寿命 TCP 连接。^[3]^[6]

TCPCT 避免了服务器端资源耗尽，因为它在完成三步握手之前不会申请任何资源。除此之外，TCPCT 允许服务器在连接关闭之后立即释放内存，此时连接还在 TIME-WAIT 状态持续。^[3]

2009 年十二月，TCPCT 支持被部分并入了 Linux 内核，^[7]^[8]但是在 2013 年五月被移除因为它从来没有被完整实现，还会造成性能消耗。^[9]

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

TCP Cookie 传输

参见

参考资料

Wikiwand - on