Linux는 여전히 연결 추적 제한을 적용합니까?

Linux는 여전히 연결 추적 제한을 적용합니까?

최근 Ubuntu 16.04(커널 4.4)로 업그레이드했는데 과거(3.2 를 실행하는 12.04) net.netfilter.nf_conntrack_max에 . nf_conntrack_max그러나 저는 SYN Flooding 및 SYNPROXY DDoS 보호에 대해 몇 가지 테스트를 수행해 왔습니다. SYN 플러드를 통해 nf_conntrack_max에 도달한 후에도 여전히 서버에 대한 연결을 설정할 수 있음을 발견했습니다.

SYNPROXY를 사용하면 conntrack 테이블이 설정된 연결을 유지할 수 있지만 이를 사용하든 사용하지 않든 문제 없이 서버에 계속 연결할 수 있습니다.

누구든지 이것에 대한 정보를 가지고 있습니까?

편집하다

4.4에서 잠금 없는 TCP 리스너를 만났습니다.

https://kernelnewbies.org/Linux_4.4#head-7c34e3af145ac61502d1e032726946e9b380d03d

그것도 일부인지 궁금합니다.

답변1

연결된 소켓에 포트의 재사용 및/또는 비차단 모드가 활성화되어 있으면 실제로 한도를 초과했음에도 연결이 가능할 수도 있습니다... 그렇다면 해당 Flood 정보에 대한 방화벽 필터링을 확인하세요.

관련 정보