SYNPROXY：廉價的抗DoS攻擊方案

　　DoS 攻擊是一個永恒的問題，雖然專業廠商的防火墻，負載均衡類的網關設備能比較有效的防御 DoS 攻擊，但黑客們更傾向于 x86+GNU/Linux 的組合，原因很簡單：足夠的廉價。

　　在 linux 內核 3.13 里終于加入了 SYNPROXY 的新功能， 這個模塊是一個基于鏈接跟蹤的 netfilter 擴展，主要干的工作就是把來自客戶端的初始 SYN 包標記成 UNTRACKED 然后直接導入 iptables 的"SYNPROXY"的動作(類似 ACCEPT,NFQUEUE 和 DROP)，這時內核會扮演網關設備的角色繼續跟客戶端進行 TCP 的常規握手流程，SYNPROXY 會等到最終的 ACK (三次握手)的 cookie 被驗證合法后才會開始讓包真正的進入目標端，開發者 Jesper Dangaard Brouer 的數據表明 SYNPROXY 對于對抗 SYN FLOOD DOS 攻擊是非常有效的，筆者今天也在 Debian 和 SLES-12-beta2 對 SYNPROXY 進行了 DoS 測試，大致結果是在使用 hping3 和 metasploit 進行測試，開啟 SYNPROXY 后 ksoftirq 占用會從8% 降低到3% 以內，有興趣的 solidoter 可以親自去玩玩。

                    <span id="shareA4" class="fl">                          </span>                 </div>