我的问题是:
1.)什么是推荐的“SYN代理服务器”来过滤虚假的SYN攻击,只有转发“握手”的有效连接到它后面的主机(被保护)。 我search这个词,但没有find任何直接的点击/产品,最好是开源/免费的?
2.)如果没有“准备好”的Syn Proxy服务器,我该如何build立自己的(使用iptables?)
3.)Syn Proxy服务器是否推荐使用? 有没有人有任何经验呢? (否则我可能会喜欢syncookies …)
非常感谢! 马库斯
SYN代理服务器只不过是一个堡垒主机,它被设置为处理大量的传入的半build立的TCP连接,并且只传递完成的连接。 我真的不知道你为什么要用一个; 他们仍然很容易因为资源枯竭而失败(他们的状态空间还是有限的),因此不能像一个好的SYN cookie一样进行扩展。
出于兴趣,您可以分享您的SYN代理服务器build议的来源吗?
你可以通过使用一个SYN代理来replace内存的CPU时间,该代理会向套接字地址添加一个秘密,并计算出一个散列值,作为tcp连接服务器的启动序号。
半打开连接的任何条目都不会被添加到状态表中。
如果一个数据包进入(设置了ack标志),则从客户端发送的确认号码减1将与和该秘密连接的套接字地址的散列进行比较。
如果数字不匹配,数据包将被丢弃。
仅在连接速率取决于CPU功率的情况下,半开连接的数量没有限制。
需要了解的重要一点是,SYN-cookie允许服务器响应初始SYN而不创buildstream表项; 它消耗更less的资源,并保持您的服务器在线; 性能增加高达20倍是常见的!
你应该真的阅读这些背景文章; SYNPROXY确实值得一试。
http://rhelblog.redhat.com/2014/04/11/mitigate-tcp-syn-flood-attacks-with-red-hat-enterprise-linux-7-beta/ https://r00t-services.net/知识库/ 14 /国产-DDoS攻击防护-使用- iptables的-SYNPROXY.html