Security

推薦什麼“Syn 代理伺服器”?或者如何建造一個?

  • December 31, 2017

我的問題是:

1.) 什麼是推薦的“SYN PROXY SERVER”來過濾虛假的 SYN 攻擊,並且只將“握手”的有效連接轉發到它後面的主機(受到保護)。我搜尋了這個詞,但沒有找到任何直接點擊/產品,最好是開源/免費?

2.) 如果沒有“現成的”Syn 代理伺服器,我該如何建構自己的(使用 iptables?)

3.) Syn 代理伺服器是否被推薦和有用?有沒有人有這方面的經驗?(否則我可能會使用 syncookies ……)

SYN 代理伺服器只不過是一個堡壘主機,它被設置為處理大量傳入的半建構 TCP 連接,並且只傳遞完成的連接。老實說,我不知道您為什麼要使用一個;它們仍然容易因資源耗盡而失敗(它們仍然有有限的狀態空間),因此無法像良好的 SYN cookie 實現那樣擴展。

出於興趣,您能否分享您推薦的 SYN 代理伺服器的來源?

您可以使用 syn 代理將 CPU 時間替換為記憶體,該代理將秘密添加到套接字地址併計算其雜湊值,用作 tcp 連接的伺服器的起始序列號。

不會將半開連接的條目添加到狀態表中。

如果一個數據包進來(設置了 ack 標誌),從客戶端發送的確認號減去 1 將與連接到秘密的套接字地址的雜湊值進行比較。

如果數字不匹配,數據包將被丟棄。

半開連接的數量沒有限制,只有連接速率取決於 CPU 功率。

引用自:https://serverfault.com/questions/305424