タグ

dos対策とlinuxに関するkgbuのブックマーク (1)

  • SYN cookies - Wikipedia

    SYN cookies (スィン・クッキーズ) とは、TCP SYN flood攻撃を防ぐために開発された手法のひとつ。1996年、ダニエル・J・バーンスタインらにより考案された。 SYN flood 攻撃の問題点は、TCP 接続が開始する前からサーバがクライアントの SYN パケットによって記憶領域を消費してしまう点にあった。通常この記憶領域には、クライアント側のIPアドレスとポート番号、接続に使うシーケンス番号、およびクライアントが指定してきた TCP接続に関する様々な設定 (TCPウィンドウの大きさなど) が格納される。また、サーバは SYN パケットを受けとった後、クライアントに対して SYN ACK パケットを返す。ここにはその TCP 接続に関連づけられたTCPシーケンス番号が含まれている。TCPシーケンス番号はこれ以降の TCP通信の中で、クライアントおよびサーバが共通して使

    kgbu
    kgbu 2008/07/26
    SYN flood 攻撃に対抗する機能だが、/proc/sys/net/ipv4/tcp_syncookies が1ならば対策されているという。ずいぶん昔からあるんだな。知らなかった。
  • 1