关于 SYN防火墙的 一点疑问

ssffzz1

是

shenbo7

可是，我GOOGLE的资料里；
有很多带SYN FLOOD防护的网关设备和防火墙设备，
都带有开启SYN Cookie的选项；

如果，这些设备不开启SYN Cookie ，怎么保护它的转发引擎的半连接队列？

ssffzz1

那个就是Sys proxy了。

shenbo7

SYN：     C———>proxy
SYN-ACK：C<———proxy(打开SYN Cookie功能)
ACK：     C———>proxy

SYN：              proxy------->S
SYN-ACK：         proxy<-------S
ACK：              proxy------->S

没有这样工作的proxy吗？

ssffzz1

你想，要是按照你的那个思路搞的话，资源消耗是不是更厉害啊。

shenbo7

原帖由 ssffzz1 于 2009-8-17 11:53 发表
你想，要是按照你的那个思路搞的话，资源消耗是不是更厉害啊。

恩，是的；

可是如果不用的话，怎么保护proxy不被syn flood挤垮呢？

ssffzz1

7楼给你的那个仔细看看。基本的思路就是如此。

带脚镣跳舞

网络安全里有一精华帖关于看DDOS防火墙，LZ你仔细去琢磨琢磨

shenbo7

原帖由 ssffzz1 于 2009-8-17 12:50 发表
7楼给你的那个仔细看看。基本的思路就是如此。

对啊，我1楼的帖子就说，现在流行的，就是在FW上使用SYN Cookie 和6次握手方式；

原帖由 带脚镣跳舞 于 2009-8-17 13:37 发表
网络安全里有一精华帖关于看DDOS防火墙，LZ你仔细去琢磨琢磨

是不是skipjack 大虾写的《对国内ddos厂商技术点评 》？

看过，刚才，又看了一遍；

里面也说，SYN Flood攻击一般不是带宽消耗战，基本都是10000pps以下的；
而对于全连接，10000PPS不是什么大事；

最后PS一下：
我说的这种方法，是我在GOOGLE上翻看SYN Flood攻击防御时看见的(不记得翻到第几页了)；
当时，还配套有一个全连接状态检测的机制，不过没具体说实现；
我觉得这种方法，非常的新颖，就想分析下，这种方法的利弊，以及实现上可能会遇到的问题；

ssffzz1

对啊，我1楼的帖子就说，现在流行的，就是在FW上使用SYN Cookie 和6次握手方式；

你看看你的那个握手流程咋画的，再看看7楼的那个咋画的。  差别到底有多大。