发起一个话题,为什么Linux下的syn cookie防护效果不佳?

nianzong

RT. Linux系统下的syn cookie其原理看起来是不错的,但为什么在实际使用当中却没什么效果呢(这里只针对syn flood攻击),而且很多防火墙的原理也是根据syn cookie/syn proxy而来的. 根据本人的经历,syn flood攻击只需很小的攻击量甚至只有1MB(我碰到的情况,经前端防火墙过滤后,到后端服务器的syn flood流量只有1MB了)都防不住,半连接大概在4096左右.cpu资源没什么消耗,内存有点消耗但不大,load几乎没有增加.下面是几个syn相关的内核参数值:
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 8192
net.ipv4.tcp_syn_retries = 2
net.ipv4.tcp_fin_timeout = 30

我个人的结论就是系统半连接用光了,可是为什么netstat的半连接数总是在4096左右徘徊呢?设置的8192远远没有达到啊

nianzong

没有一个人响应,shit

liang3391

如果syn量大的话还是扛不住的。

bbjmmj

iptable里面也得加东西才行，我记得好像是对于状态NEW，RESET不能为零还是怎么来着，反正是判断TCP状态字的。

nianzong

我前面提到的流量已经小的不能再小了,如果这点点流量都无法防御,那么syn_cookie功能只能说是个摆设了.

nianzong

现在的疑问是,是功能本身原理导致防御效果甚微,还是受制于操作系统其它功能模块?

greattiny

顶一个，怎么没有人回复阿。