对PF的synproxy的一些疑惑
本帖最后由 Andrew2080 于 2012-08-17 18:17 编辑看PF的手册时看到有关SYNPROXY这一句话
“当客户端初始化一个到服务器的TCP连接时, PF会放行两个终点间的 握手数据包, 然而PF有能力代理握手过程, PF会先完成与客户端握手在发起一个与服务器的握手, 然后放行两端的数据包。 这种做法的好处是在客户端完成握手过程前没有数据包发送给服务器, 它避免了欺骗式的TCP SYN floods对服务器造成的威胁, 因为伪造的客户端不能完成握手。 ”
有点疑惑,PF这种做法跟我在前端弄一个类似于nginx的端口代理有什么区别?
1、PF可以实别哪些是虚假连接?
2、或者说PF可以有效缩短SYN_RECV的响应时间?
那如果不是以上两点,它靠什么手段来防护后端的server,攻击一发起不就挂了?
请众位高人解惑
页:
[1]