发起一个话题,为什么Linux下的syn cookie防护效果不佳?
本帖最后由 nianzong 于 2010-05-05 15:11 编辑
RT. Linux系统下的syn cookie其原理看起来是不错的,但为什么在实际使用当中却没什么效果呢(这里只针对syn flood攻击),而且很多防火墙的原理也是根据syn cookie/syn proxy而来的. 根据本人的经历,syn flood攻击只需很小的攻击量甚至只有1MB(我碰到的情况,经前端防火墙过滤后,到后端服务器的syn flood流量只有1MB了)都防不住,半连接大概在4096左右.cpu资源没什么消耗,内存有点消耗但不大,load几乎没有增加.下面是几个syn相关的内核参数值:
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 8192
net.ipv4.tcp_syn_retries = 2
net.ipv4.tcp_fin_timeout = 30
我个人的结论就是系统半连接用光了,可是为什么netstat的半连接数总是在4096左右徘徊呢?设置的8192远远没有达到啊
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(6)
顶一个,怎么没有人回复阿。
现在的疑问是,是功能本身原理导致防御效果甚微,还是受制于操作系统其它功能模块?
我前面提到的流量已经小的不能再小了,如果这点点流量都无法防御,那么syn_cookie功能只能说是个摆设了.
iptable里面也得加东西才行,我记得好像是对于状态NEW,RESET不能为零还是怎么来着,反正是判断TCP状态字的。
如果syn量大的话还是扛不住的。
没有一个人响应,shit