在内核中使用netfilter.ip_conntrack是否有助于缓解(d)DoS攻击,还是会让它变得更糟?
我知道它增加了跟踪连接等function,但只是好奇,如果有帮助,或者只是使连接陷入更糟糕的攻击。
取决于你的优先事项。
从机器不会死的意义上讲,它会更好,因为一旦达到了net.ipv4.netfilter.ip_conntrack_max ,机器就会停止接受连接,而不是重载。
这会让你的机器停止接受连接。
在我的大部分高stream量服务器上,我只是卸载了ip_conntrack内核模块。 如果你不使用它的function,像NAT一样,没有必要使它活跃。
不,它会变得更糟。 填充ip_conntrack表是一个相对简单的方法来closures服务器,攻击者知道这一点。