Opet SYN flooding

Středa Květen 19 15:28:14 CEST 1999

Zdravim,

jelikoz me tezce trapi SYN flooding, ktery znacne pretezuje nas server, 
premyslim a zkoumam, jak se pred timto utokem branit.

Podle toho, co jsem nasel na webu jsou nektere firewally schopne SYN flooding
alespon omezovat (http://www.flyingfox.com/synflood_ann.html,
http://www.aker.com.br/english/man301/enm30-10.htm). Proto se ptam zda
neexistuje podobna ochrana pro Linux, samozrejme vyjma SYN cookies. 

Podle mne by castecnym resenim bylo uz samotne zvetseni bufferu pro 
half-open konexe, ale nekde jsem cetl, ze:
"Every half-open connection consumes precious kernel memory (typically
non-paged), so it is unwise to set the half-open connection limit too high" 

Nevim, zda je to i pripad Linuxu, nicmene se domnivam, ze by bylo mozne
pripadne buffery prenest castecne do user space. Neslo by treba udelat
relativne kratky timeout mezi druhym a tretim krokem handshaku primo v
kernelu, ovsem s tim, ze by nejaky daemon v user space drzel tuto informaci s
delsim timeoutem a v pripade opozdeneho ACK paketu by potom nejak kernelu
potrebne informace vratil? 

Asi by to znamenalo patchovat kernel a mozna je to uplne zcestna idea, ale
jak rikam, zacinam z toho byt zoufaly...

S pozdravem

Michal Krause                                                      /\
ICQ: 7665279            Informace (nejenom) ze sveta Linuxu     /\/  \
email: mike na navrcholu.cz ______ http://www.root.cz/ ______ NAVRCHOLU.cz

There are three kinds of lies: lies, damn lies, and benchmarks.
                                                         Jeremy Allison