请问:LVS Director主机上能否通过设置tcp_syncookie参数起到防卫Syn-flooding攻击的效果?比如:将Director Server看成一个Linux防火墙,在客户机发送ACK之前的所有SYN包暂时不转发给Real Server,而是由Director自动发一个SYN+ACK包给客户机;当Director收到客户ACK包之后,自动向Real Server发一个SYN包,代理客户机完成前两次握手的工作。
不知这种功能能否在LVS-DR的配置上实现?
zdx3578
周二, 2007-03-06 13:07
Permalink
《黑客大曝光》第五版第10章关于linux系统抗syn洪水有相关介绍。
icarusli
周二, 2009-02-17 09:51
我觉得这种想法是很好,如果能这样实现,无疑是抗SYN的最高境界。 但实际上这样违返了TCP的协议形式,在Real服务器上并没有握手的记录的情况下,它是如何实现数据返回的? 这有个问题: 如何把握手的建立情况转送到后端的Real服务器。
bixuan
周五, 2007-03-16 13:28
我觉得在lvs里加上tcp offload比较好!!Ourlinux杂志
There are currently 0 users online.
zdx3578
周二, 2007-03-06 13:07
Permalink
linux 内核本身有抗syn洪水攻击的选项
《黑客大曝光》第五版第10章关于linux系统抗syn洪水有相关介绍。
icarusli
周二, 2009-02-17 09:51
Permalink
我觉得这种想法是很
我觉得这种想法是很好,如果能这样实现,无疑是抗SYN的最高境界。 但实际上这样违返了TCP的协议形式,在Real服务器上并没有握手的记录的情况下,它是如何实现数据返回的?
这有个问题:
如何把握手的建立情况转送到后端的Real服务器。
bixuan
周五, 2007-03-16 13:28
Permalink
我觉得在lvs里加上tcp
我觉得在lvs里加上tcp offload比较好!!
Ourlinux杂志