Доброго времени суток всем. Наша проблема в том, что нас периодически флудят пакетами SYN. При этом флуде мы не можем пробиться на соседние хосты. Есть мысль поиграться с параметром ядра /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_syn_sent. Это параметр, который отвечает за время жизни SYN-SENT пакета в таблице conntrack ядра. По умолчанию он равен 120 секундам. По моему это очень много. В ipsysctl-tutorial написано что уменьшать этот параметр нельзя. А я хочу попробовать уменьшить, чтобы при переполнении этими соединениями таблицы conntrack они поскорее отваливались и давали больше шансов на прохождение других нормальных пакетов. Вопрос: 1) Какую величину этого параметра лучше ставить? 2) Принесет ли какую-нибудь пользу уменьшение этого параметра 3) Как вообще люди борятся с SYN-Flood атаками? Заранее благодарен за любую помощь.

Ответ на:
комментарий
от spirit


Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Похожие темы
- Форум tcp-flags SYN,RST SYN (2007)
- Форум Атака SYN (2015)
- Форум SYN flooding (2011)
- Форум Syn-флуд (2019)
- Форум syn флуд (2014)
- Форум SYN пакет (2007)
- Форум SYN FLOOD ! (2002)
- Форум syn flood (2004)
- Форум SYN flood (2007)
- Форум SYN flooding (2005)