2014年3月19日星期三

Solidot: SYNPROXY:廉价的抗DoS攻击方案

Solidot

奇客的资讯,重要的东西

SYNPROXY:廉价的抗DoS攻击方案
http://solidot.org.feedsportal.com/c/33236/f/556826/s/385e8cc2/sc/28/l/0L0Ssolidot0Borg0Cstory0Dsid0F38791/story01.htm
Mar 19th 2014, 16:01



消息

本文已被查看 611 次







SYNPROXY:廉价的抗DoS攻击方案



Shawn the R0ck 写道 "DoS攻击是一个永恒的问题,虽然专业厂商的防火墙,负载均衡类的网关设备能比较有效的防御DoS攻击,但黑客们更倾向于x86+GNU/Linux的组合,原因很简单:足够的廉价。在linux内核3.13里终于加入了SYNPROXY的新功能,这个模块是一个基于链接跟踪的netfilter扩展,主要干的工作就是把来自客户端的初始SYN包标记成UNTRACKED然后直接导入iptables的"SYNPROXY"的动作(类似ACCEPT,NFQUEUE和DROP),这时内核会扮演网关设备的角色继续跟客户端进行TCP的常规握手流程,SYNPROXY会等到最终的ACK(三次握手)的cookie被验证合法后才会开始让包真正的进入目标端,开发者Jesper Dangaard Brouer的数据表明SYNPROXY对于对抗SYN FLOOD DOS攻击是非常有效的,笔者今天也在Debian和SLES-12-beta2对SYNPROXY进行了DoS测试,大致结果是在使用hping3和metasploit进行测试,开启SYNPROXY后ksoftirq占用会从8%降低到3%以内,有兴趣的solidoter可以亲自去玩玩。"






This entry passed through the Full-Text RSS service — if this is your content and you're reading it on someone else's site, please read the FAQ at fivefilters.org/content-only/faq.php#publishers.



You are receiving this email because you subscribed to this feed at https://blogtrottr.com

If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/cz0/jPbdSR

没有评论:

发表评论

博客归档