- 论坛徽章:
- 0
|
原帖由 zjzf_1 于 2006-3-9 19:31 发表
我个人认为 syncookies 应该是在tcp_input 部分实现的 通过修改操作系统tcp协议栈实现的 可以参考下freebsd的 syn_cache
而 synproxy 是在tcp_input之前实现的 也就是说 不管在本机还是在网络中(比方说ethe ...
下午太忙了,没即时上来,呵呵;....发了不少回复啊,一个一个来吧,先从最后一个回起![](static/image/smiley/default/icon_smile.gif)
呵呵....你的这个六次握手的功能,可能是大部分抗syn flood设备的思路,很传统,但很实用.我设计过一份在NP下的实践,也是这个思路.但NP下没有随时数发生器,所以随机数种子质量不是很好.
说是六次握手,其实你要处理的就是三个包,另外三个包是利用这三个包构造的,所以不是很费资源.
序号代理是这个实现的关键,实现过的人都知道,原向代理ack seq,反向代理seq.核心代码决不超过10行(一加,一减,一cheat_check足够了,细算的话6行代码,我说的有错吗?如果你实现过,你应该听的懂的.还有如果你把计算检验和的汇编算上是你写的,那可能会多一点)而己,呵呵...没有你说的那么神密,如果你喜欢,我可以把抗DoS的功能周未的时候加上,做个DOM去你那里测一下.我可以保存64字节60M的吐吞就是抗syn flood的性能,前题是你在北京.
但愿我们头儿没有看这个贴子,呵呵.... |
|