29.27里的SYN Cookie是否真的有效

qinguofu

如题

seignior

效果明显，但只针对自身。

ssffzz1

多了也不行。

xqs428

如果只是针对自身就没多少意思了

zzyzzyboy

效果不是很明显，自身也不行~
测试过了

网络-浪子

原帖由 zzyzzyboy 于 2007-2-14 19:23 发表
效果不是很明显，自身也不行~
测试过了

什么方法测试?有权威性吗?

seignior

我之前用2.8.x和2.9.27做过测试，在本版发过帖，但昨天找不到了，就没回这帖，但我想还是有些人看过的吧，所以我希望5搂能展示一下你的测试结果，对比一下什么地方有差异。

zzyzzyboy

接5楼的话
继续说
首先说明，只是自己测试，没有权威

内网使用SYN FLOOD攻击，
ROS配置如下：AMD 速龙3000  512MB 8139*2

ROS做NAT模式
分别做对外网某一个IP进行SYN 攻击，流量为100MBPS ROS挂掉
攻击ROS的某一端口（非打开的端口）ROS也挂掉
和我没有选择ENABLE SYN COOKIE 基本上效果相当，基本上就是DOWN

seignior

......“效果明显，但只针对自身”......
P.S:内网对外网syn，本地死那是应该的，很详细具体的原理我也说不上，首先需要了解nat是在内网和外网之间建立一个握手，所以，因为syn大多是虚构ip，nat在内网根本找不到报文里宣称的这个地址，所以崩溃是必然的(对外的连接还没建立，nat就已经挂掉了)。一个被动的解决办法是加一个策略对内网网卡drop掉所有非内网ip的报文。

zzyzzyboy

9楼的，看我以前发的帖子~~
发表过你说的那种策略~
效果基本上一样，只不过在小流量的时候可以顶住（但是一般我遇到的没小流量）
大流量的时候一样挂
不过在攻击停止的时候收敛速度快一些

seignior

那个策略，的确就是个没办法的办法......这玩意本来就一分钱一分货，别说我们用D版，就算正版再加mikrotik他的原配硬件，价格和真正站得出来的syn火墙也没办法比，当然这个是次要问题，主要的是，如果他要为火墙为功能，那么系统是小需要从底层做出很多修改的，而ros本身就定位在中低档路由系统，所以他直接使用了自己修改的linux，而绝大多数网络功能，实际是镶嵌在linux内核的，类似于很多“类”，ros直接作为“对象”呼叫出来即可使用，这样可以大幅减少开发代价，当然为此而支付的代价的就是部分性能会比预期的低了。

不过私人说一句，对于网吧内网攻击，实际上我并不算非常重视这个问题，来来去去就那一千几百平方了，在一个可以直接目视且操控全场的环境里，如果还不能直接找到故障源，那么我觉得瓶颈并不在机器而在人。如果实在没办法，我建议考虑一下pppoe，另外我也假想过这种模型，就是网吧分出几个小区域，每个小区域做一个ros透明网桥，把各种策略放在最前线，那么我想至少可以把损失减少、锁定问题位置。

最后，祝大家新年快乐，可能过一个季度，我又要回去管网吧了，呵呵

xing122333

有那么一点点效果的。

parphy

原帖由 zzyzzyboy 于 2007-2-14 19:23 发表

                               
登录/注册后可看大图

效果不是很明显，自身也不行~
测试过了

接5楼的话
继续说
首先说明，只是自己测试，没有权威

内网使用SYN FLOOD攻击，
ROS配置如下：AMD 速龙3000  512MB 8139*2

ROS做NAT模式
分别做对外网某一个IP进行SYN 攻击，流量为100MBPS ROS挂掉
攻击ROS的某一端口（非打开的端口）ROS也挂掉
和我没有选择ENABLE SYN COOKIE 基本上效果相当，基本上就是DOWN

从以上可以看出你对"自身"防护的这个理解是错误的，要测试“自身”的防护能力，要将“分别做对外网某一个IP进行SYN 攻击”改为““分别做对ROS直接进行SYN 攻击”那样测试才能得到真正的“自身”防护能力的结论

parphy

另外，还要提示一下概念，防止路由器本身被攻击用SYN COOKIE，而要防止路由器被针对路由器以外的地址攻击而受附带连累致死，应该起用的是SYN PROXY，这两个东东是有些相象，但又有很大不同的。

目前版本的ROS好象还没有SYN PROXY功能

babar