Come funzionano queste tecniche per la protezione dall'inondazione SYN?

1

Sto leggendo su come si può prevenire l'alluvione di SYN. Wikipedia ha

Filtering
Increasing Backlog
Reducing SYN-RECEIVED Timer
Recycling the Oldest Half-Open TCP
SYN Cache
SYN cookies
Hybrid Approaches
Firewalls and Proxies

Che cosa si intende esattamente per "filtraggio"? È come un ipfilter di hacker noti?

Che cos'è esattamente "l'aumento del backlog"? Significa solo rendere disponibili più risorse?

Cos'è una cache SYN? Come può funzionare una cache in questo contesto, non è legittimo che lo stesso client possa aver bisogno di aprire altre connessioni con lo stesso server?

    
posta Celeritas 13.12.2015 - 02:48
fonte

1 risposta

1

Forse dovresti aver aggiunto la riga di Wikipedia che precede il tuo elenco. Lì si afferma:

There are a number of well-known countermeasures listed in RFC 4987 including:

Quindi il modo consigliato per ottenere dettagli sugli elementi della lista è di esaminare la RFC citata.

What exactly is meant by "filtering"? Is that like an ipfilter of known hackers?

RFC 4987, 3.1 ti dirà che si tratta di filtrare i dati in arrivo in base all'indirizzo di origine . Si tratta quindi di mettere in blacklist i trasgressori conosciuti o di consentire solo client specifici basati su indirizzo IP (cioè whitelist).

What exactly is 'increasing backlog'? Does that just mean making more resources available?

Sì, aumenterà il backlog, cioè quante connessioni sono accettate dall'host ma non ancora accettate dall'applicazione. Ma la parte rilevante in RFC 4987 ti dirà anche che questo metodo causa problemi di prestazioni aggiuntivi almeno con il implementazioni nel momento in cui è stata scritta la RFC.

What's a SYN cache? How can a cache work in this context, isn't it legitimate for the same client may need to open another connections with the same server?

Sezione 3.5 della RFC ti dirà che il concetto è "meglio descritto da Lemon [Lem02] "ma la sezione ha anche una buona spiegazione del concetto stesso. Significa essenzialmente che non lo stato completo di una connessione in attesa è memorizzato sul server ma solo parti di esso e quindi salva la memoria. Sostituisce anche la coda basata su socket di connessioni incomplete con una cache di sistema. Non riesco a vedere come dovrebbe causare problemi con più connessioni dallo stesso client.

Vedi anche Cosa è la differenza tra il cookie SYN, la cache SYN e il proxy SYN? .

    
risposta data 13.12.2015 - 05:14
fonte

Leggi altre domande sui tag