Director主机上的LVS + Syn cookie

请问:LVS Director主机上能否通过设置tcp_syncookie参数起到防卫Syn-flooding攻击的效果?比如:将Director Server看成一个Linux防火墙,在客户机发送ACK之前的所有SYN包暂时不转发给Real Server,而是由Director自动发一个SYN+ACK包给客户机;当Director收到客户ACK包之后,自动向Real Server发一个SYN包,代理客户机完成前两次握手的工作。

不知这种功能能否在LVS-DR的配置上实现?

Forums:

《黑客大曝光》第五版第10章关于linux系统抗syn洪水有相关介绍。

我觉得这种想法是很好,如果能这样实现,无疑是抗SYN的最高境界。 但实际上这样违返了TCP的协议形式,在Real服务器上并没有握手的记录的情况下,它是如何实现数据返回的?
这有个问题:
如何把握手的建立情况转送到后端的Real服务器。

我觉得在lvs里加上tcp offload比较好!!
Ourlinux杂志