вопрос по syn пакетам

0

0

Доброго времени суток всем.
Наша проблема в том, что нас периодически флудят пакетами SYN.
При этом флуде мы не можем пробиться на соседние хосты.
Есть мысль поиграться с параметром ядра
/proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_syn_sent.
Это параметр, который отвечает за время жизни SYN-SENT
пакета в таблице conntrack ядра. По умолчанию он равен 120 секундам.
По моему это очень много. В ipsysctl-tutorial написано что уменьшать
этот параметр нельзя. А я хочу попробовать уменьшить, чтобы при
переполнении этими соединениями таблицы conntrack они поскорее
отваливались и давали больше шансов на прохождение других
нормальных пакетов.
Вопрос:
1) Какую величину этого параметра лучше ставить?
2) Принесет ли какую-нибудь пользу уменьшение этого параметра
3) Как вообще люди борятся с SYN-Flood атаками?
Заранее благодарен за любую помощь.

Ссылка

←	Обновление с Hoary до Breezy

Fetchnews+Leafnode

→

Re: вопрос по syn пакетам

Думаю стоит смотреть в сторону опции CONFIG_SYN_COOKIES в ядре. Если она есть, то "echo 1 >/proc/sys/net/ipv4/tcp_syncookies" должно решить вашу проблему.

spirit ★★★★★ (22.07.05 20:36:03 MSD)

Ответ на: Re: вопрос по syn пакетам от spirit 22.07.05 20:36:03 MSD

Re: вопрос по syn пакетам

именно для этого эти кукисы и нужны - сперва нужно попробовать это, а потом играться, если не поможет.

Pi ★★★★★ (22.07.05 23:41:57 MSD)

Ссылка

Re: вопрос по syn пакетам

Или я чего-то непонимаю...А разве нельзя сделать, чтобы syn пакеты с определёнными адресами сразу прибивались, т.е. их время жизни было бы 0 сек, а остальные пусть будут 120?

anonymous_incognito ★★★★★ (23.07.05 23:44:34 MSD)