mate aktivované TCP syn cookie?
Napsal: 08 Feb 2015 22:09
od rado3105
http://ckdake.com/content/2007/disadvan ... okies.htmltu je celkom zaujimavy clanok, popisujuci ze samotna aktivacia v pripade utoku urobi este vacsi problem..a taktiez aj na vysokostratovych vyokokapacitnych linkach aj ked nie je utok to moze robit problemy...
mate to aktivovane?
Re: mate aktivované TCP syn cookie?
Napsal: 09 Feb 2015 09:03
od Majklik
N2kd ejo, někde ne. PRvně, dnešní slušnější HW už zvládá dost spojení bafrovat, takž eněco vydrží. Další, ten článek vynechává podstatnou věc ohledně implementae vlinuxu, že i když zapnu syncookies, tak se neaktivují hned. Čeká se, až začne docházet k vyčerpání paměti pro navazování spojení a teprve potom se funkce aktivuje. Takže pokud daný storj není bombardován TCP SYN požadavky, tak se funkce nepoužívá a fungují všechny TCP opičky. Teprve při zahlcení dojde k aktivací a pak nefungují velké okna a dfalší věci. Fakticyk, řada serverů stejně nepoužívá tyto vymoženosti, pokud chtějí zvládnout obsloužit tisíce klientů naráz, tak nemůřou si dovolit držet pro každého obří bafry.
Funkce aktivovaná na Mikrotik routeru (/ip settings set tcp-syncookies=yes) má samozřejmě dopad jen na spojení navazovaná na ten router, nijak se nedotýká routovaných spojení skrz router.