O Linux ainda impõe um limite de rastreamento de conexão?

2

Nós atualizamos recentemente para o Ubuntu 16.04 (kernel 4.4) e notei um novo comportamento em relação ao net.netfilter.nf_conntrack_max. No passado (com o 12.04 executando o 3.2), se você batesse no nf_conntrack_max, não conseguiria estabelecer nenhuma nova conexão. No entanto, tenho feito alguns testes com o SYN flooding e com a proteção SYNPROXY DDoS. Descobri que depois de atingir nf_conntrack_max por meio de uma inundação SYN, ainda posso estabelecer conexões com o servidor.

Usar o SYNPROXY mantém a tabela conntrack nas conexões estabelecidas, mas com ou sem ela ainda posso me conectar ao servidor sem problemas.

Alguém tem alguma informação sobre isso?

Me deparei com ouvintes TCP sem bloqueio em 4.4:

link

Estou pensando se isso faz parte disso.

    
por marcantonio 21.04.2017 / 15:23

0 respostas