防卫策略

IPVS调度器本身可以利用Linux内核报文过滤功能设置成一个防火墙，只许可虚拟服务的报文进入，丢掉其他报文。调度器的脆弱之处在于它需要记录每个连接的状态，每个连接需要占用128个字节，一些恶意攻击可能使得调度器生成越来越多的并发连接，直到所有的内存耗尽，系统出现拒绝服务（Denial of Service）。但是，一般SYN-Flooding攻击调度器是非常困难的，假设系统有128Mbytes可用内存，则系统可以容纳一百万个并发连接，每个处理接受SYN连接的超时（Timeout）为60秒，SYN-Flooding主机需要生成16,666 Packets/Second的流量，这往往需要分布式SYN-Flooding工具，由许多个SYN-Flooding主机同时来攻击调度器。

为了避免此类大规模的恶意攻击，我们在调度器中实现三种针对DoS攻击的防卫策略。它们是随机丢掉连接、在调度报文前丢掉1/rate的报文、使用更安全的TCP状态转换和更短的超时。在系统中有三个开关分别控制它们，开关处于0表示该功能完全关掉。1和2表示自动状态，当系统的有效内存低于设置的阀值时，该防卫策略被激活，开关从1状态迁移到2状态；当系统的有效内存高于设置的阀值时，该防卫策略被关掉，开关从2状态迁移到1状态。3表示该策略永远被激活。