최근 Ubuntu 16.04(커널 4.4)로 업그레이드했는데 net.netfilter.nf_conntrack_max와 관련된 몇 가지 새로운 동작을 발견했습니다. 과거(3.2를 실행하는 12.04)에는 nf_conntrack_max에 도달하면 새로운 연결을 만들 수 없었습니다. 그러나 저는 SYN Flooding 및 SYNPROXY DDoS 보호에 대해 몇 가지 테스트를 수행해 왔습니다. SYN 플러드를 통해 nf_conntrack_max에 도달한 후에도 여전히 서버에 대한 연결을 설정할 수 있음을 발견했습니다.
SYNPROXY를 사용하면 conntrack 테이블이 설정된 연결을 유지할 수 있지만 이를 사용하든 사용하지 않든 문제 없이 서버에 계속 연결할 수 있습니다.
누구든지 이것에 대한 정보를 가지고 있습니까?
4.4에서 잠금 없는 TCP 리스너를 만났습니다.
https://kernelnewbies.org/Linux_4.4#head-7c34e3af145ac61502d1e032726946e9b380d03d
그것도 일부인지 궁금합니다.