Доброго времени суток всем. Наша проблема в том, что нас периодически флудят пакетами SYN. При этом флуде мы не можем пробиться на соседние хосты. Есть мысль поиграться с параметром ядра /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_syn_sent. Это параметр, который отвечает за время жизни SYN-SENT пакета в таблице conntrack ядра. По умолчанию он равен 120 секундам. По моему это очень много. В ipsysctl-tutorial написано что уменьшать этот параметр нельзя. А я хочу попробовать уменьшить, чтобы при переполнении этими соединениями таблицы conntrack они поскорее отваливались и давали больше шансов на прохождение других нормальных пакетов. Вопрос: 1) Какую величину этого параметра лучше ставить? 2) Принесет ли какую-нибудь пользу уменьшение этого параметра 3) Как вообще люди борятся с SYN-Flood атаками? Заранее благодарен за любую помощь.
Ответ на:
комментарий
от spirit
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.