Non è possibile impedire completamente gli attacchi flood TCP SYN; il meglio che puoi fare è mitigarli. Queste impostazioni del Registro di sistema sono un'opzione valida e potrebbero essere utili se si è in presenza di un attacco di alluvione SYN debole o lieve. Funzionano limitando semplicemente la durata e la quantità di connessioni semiaperte quando si verificano i sintomi di un'inondazione SYN. In altre parole, rende il server meno paziente nell'attesa che il client completi l'handshake a tre vie (cioè completa la connessione).
Ecco alcune altre difese comuni per aiutare a mitigare gli attacchi di alluvione SYN:
-
Aumentare le risorse del server (ad esempio aggiungere più memoria o più server per il bilanciamento del carico)
-
Se filtrare gli indirizzi IP è un'opzione, questo sarebbe l'approccio più efficace. Ad esempio, se si conosce il proprio sito Web verrà utilizzato solo da un determinato intervallo di indirizzi IP (o posizione geografica), è possibile filtrare gli indirizzi IP autorizzati a connettersi. Si potrebbe anche utilizzare una lista bianca di indirizzi IP di client legittimi noti per dare maggiore priorità a tali connessioni.
-
Potresti anche controllare SYN Cookies che è un metodo di mitigazione creativo che potrebbe essere d'aiuto.
Per ulteriori letture su questi metodi di mitigazione dell'alluvione SYN, suggerisco di leggere sezione 3 di RFC 4987
Spero che questo aiuti!