|
RT. Linux系统下的syn cookie其原理看起来是不错的,但为什么在实际使用当中却没什么效果呢(这里只针对syn flood攻击),而且很多防火墙的原理也是根据syn cookie/syn proxy而来的. 根据本人的经历,syn flood攻击只需很小的攻击量甚至只有1MB(我碰到的情况,经前端防火墙过滤后,到后端服务器的syn flood流量只有1MB了)都防不住,半连接大概在4096左右.cpu资源没什么消耗,内存有点消耗但不大,load几乎没有增加.下面是几个syn 相关的内核参数值:
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 8192
net.ipv4.tcp_syn_retries = 2
net.ipv4.tcp_fin_timeout = 30
我个人的结论就是系统半连接用光了,可是为什么netstat的半连接数总是在4096左右徘徊呢?设置的8192远远没有达到啊 |
|