Cookie如何計算�����?
cookie = MD5(srcip,dstip,sport,dport)
端口是否需要考慮哪?沒有端口的話,可以少一點計算。
Syn-cookie是無狀態的,在Gateway上��,不會保存任何與connection相關的東西����,所以不會占用gateway的資源,缺點就是需要計算cookie����,CPU占用會高一點�����。
如果不考慮端口的話,cookie是不是可以cache哪��,如果cache了��,就有查找的開銷����,并不一定比MD5的hash快多少��。
在Syn-cookie之前����,先要檢查一下srcip是不是spoofing的��,這里需要做一個反向的路由查找,看看是不是從錯誤的接口進來的��,也可以確認一下源地址是否可達����。
是不是也應該做一個源端口的檢查哪?如果是0~1024的端口,就默認是非法的�����,因為這些端口在操作系統里面����,一般是保留的,不會分配給應用程序。
Syn attack是否有signatue? 不同的syn flood工具�����,生成的工具包��,應該有一定的模式�����,如果能夠找到這個signature��,就可以通過signature來直接drop這個syn,不用再做syn-cookie的檢查了。
Syn-cookie會strip掉client和server的tcp option,對client����,可疑在cookie里面帶上tcp option�����,但是對server來說����,就比較難辦一點。strip掉tcp option,對connection的性能有影響����。
對syn-flood的防范,目前還是threshold based,因為不能區分正常包和攻擊包,但是如果能夠定義攻擊的signature�����,就可以做signature based的防范,這樣可以更有效一點�����。