防卫策略

IPVS调度器本身可以利用Linux内核报文过滤功能设置成一个防火墙,只许可虚拟服务的报文进入,丢掉其他报文。调度器的脆弱之处在于它需要记录每个连接的状态,每个连接需要占用128个字节,一些恶意攻击可能使得调度器生成越来越多的并发连接,直到所有的内存耗尽,系统出现拒绝服务(Denial of Service)。但是,一般SYN-Flooding攻击调度器是非常困难的,假设系统有128Mbytes可用内存,则系统可以容纳一百万个并发连接,每个处理接受SYN连接的超时(Timeout)为60秒,SYN-Flooding主机需要生成16,666 Packets/Second的流量,这往往需要分布式SYN-Flooding工具,由许多个SYN-Flooding主机同时来攻击调度器。

为了避免此类大规模的恶意攻击,我们在调度器中实现三种针对DoS攻击的防卫策略。它们是随机丢掉连接、在调度报文前丢掉1/rate的报文、使用更安全的TCP状态转换和更短的超时。在系统中有三个开关分别控制它们,开关处于0表示该功能完全关掉。1和2表示自动状态,当系统的有效内存低于设置的阀值时,该防卫策略被激活,开关从1状态迁移到2状态;当系统的有效内存高于设置的阀值时,该防卫策略被关掉,开关从2状态迁移到1状态。3表示该策略永远被激活。

Comments

请问这个开关在哪里设置啊?如果我想将其策略改为永远被激活,请问在哪修改呢?

这个配置是在哪里哪个配置项和值体现的? 谢谢。

randomness