求SYN攻击的防御方法以及追踪，高手和有经验者请进.

独孤九贱

原帖由 "platinum" 发表：

还是 peng 的那句话，如果带宽堵死了，啥都没戏

——偶是做这行的，以前我也这么认为，不过我用了天网防火墙和绿盟的网络黑洞后，我就不这么认为了！

独孤九贱

一种SYN代理吧。
DoS防御网关收到一个SYN请求，代理服务器回应，如果收到第三次的ACK，则认为是一种正常的包（当然，NullKill这时候就过了……^o^），否则，rst！
听说Linux 下SYN cookie也是类似于这种原理（偶没有用过，只是听说）！

我们在实际测试100M网络环境中，攻击流量达到84M以上，使用这两种产品，服务器仍然能够很好地向用户提供正常服务。
首先声明，我不是来打广告的哈，只是把我的使用经验告诉大家……
至于绿盟的是不是freebsd，偶就不得而知了。我和他们开发没有联系！不过价格，就有点贵了……

独孤九贱

原帖由 "platinum" 发表：

理论上讲，如果数据把你的网卡堵死，不管你的墙是接收、丢弃、还是修改数据包，都要经过你的设备
如果网络吞吐量足够大，如果小包数量足够多，就算你能处理过来，但是你的链路也已经死掉了
你说的“以前我也这么?.........

偶如果是绿盟的销售，为什么又要推天网的？晕！
你说的没有错，“果数据把你的网卡堵死”，不过你给我发100M的攻击数据出来看看？这也不是一件容易事情！一般SYN攻击只需要很小的数据流量就可以达到目的了。
小包数量？
IXP1200以上，小包转发都是接近线速的。
我只是陈述我的使用经验而已，如果大家有兴趣而不相信我说的话，可以找这两种产品自己试试！