Security
推薦什麼“Syn 代理伺服器”?或者如何建造一個?
我的問題是:
1.) 什麼是推薦的“SYN PROXY SERVER”來過濾虛假的 SYN 攻擊,並且只將“握手”的有效連接轉發到它後面的主機(受到保護)。我搜尋了這個詞,但沒有找到任何直接點擊/產品,最好是開源/免費?
2.) 如果沒有“現成的”Syn 代理伺服器,我該如何建構自己的(使用 iptables?)
3.) Syn 代理伺服器是否被推薦和有用?有沒有人有這方面的經驗?(否則我可能會使用 syncookies ……)
SYN 代理伺服器只不過是一個堡壘主機,它被設置為處理大量傳入的半建構 TCP 連接,並且只傳遞完成的連接。老實說,我不知道您為什麼要使用一個;它們仍然容易因資源耗盡而失敗(它們仍然有有限的狀態空間),因此無法像良好的 SYN cookie 實現那樣擴展。
出於興趣,您能否分享您推薦的 SYN 代理伺服器的來源?
您可以使用 syn 代理將 CPU 時間替換為記憶體,該代理將秘密添加到套接字地址併計算其雜湊值,用作 tcp 連接的伺服器的起始序列號。
不會將半開連接的條目添加到狀態表中。
如果一個數據包進來(設置了 ack 標誌),從客戶端發送的確認號減去 1 將與連接到秘密的套接字地址的雜湊值進行比較。
如果數字不匹配,數據包將被丟棄。
半開連接的數量沒有限制,只有連接速率取決於 CPU 功率。