DoS攻擊是一個永恒的問題,雖然專業廠商的防火牆,負載均衡類的網關裝置能比較有效的防禦DoS攻擊,但黑客們更傾向于x86+GNU/Linux的組合,原因很簡單:足夠的廉價。
在linux核心3.13裡終于加入了SYNPROXY的新功能,這個子產品是一個基于連結跟蹤的netfilter擴充,主要幹的工作就是把來自用戶端的初始SYN包标記成UNTRACKED然後直接導入iptables的"SYNPROXY"的動作(類似ACCEPT,NFQUEUE和DROP),這時核心會扮演網關裝置的角色繼續跟用戶端進行TCP的正常握手流程,SYNPROXY會等到最終的ACK(三次握手)的cookie被驗證合法後才會開始讓包真正的進入目标端。
開發者Jesper Dangaard Brouer的資料表明SYNPROXY對于對抗SYN FLOOD DOS攻擊是非常有效的,筆者今天也在Debian和SLES-12-beta2對SYNPROXY進行了DoS測試,大緻結果是在使用hping3和metasploit進行測試,開啟SYNPROXY後ksoftirq占用會從8%降低到3%以内。
![linux-svn解除安裝與安裝[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)