У меня есть атака с подменой SYN на одном из моих серверов. Пока на сервере достаточно ресурсов (BW, CPU, RAM), новые законные запросы получают Request time-out ошибка. Кажется, что очередь невыполненных работ заполнена, а для новых запросов истекает время ожидания в очереди.
Как включить файлы cookie SYN на Windows Server 2008 Enterprise Edition (64-разрядная версия)?
Вот это сообщение TechNet об этом:
"Начиная с Windows Vista, защита SynAttack включена по умолчанию и не может быть отключена.... Поскольку драйвер TCPIP переходит в состояние атаки в зависимости от количества ядер ЦП и объема доступной памяти, системы с большим количеством ресурсов начнут отбрасывать новые попытки подключения позже по сравнению с системами с меньшими ресурсами. Это было жестко запрограммировано (в соответствии с настроенными параметрами реестра) в системах до Vista, где система была переведена в состояние атаки независимо от того, сколько ресурсов было доступно для системы."
Если вы используете брандмауэр Linux, есть несколько вариантов защиты от SYN DoS / DDoS, прежде чем перейти на сервер Windows.
Во-первых, вы можете настроить правило быстрого ответа на все неважные SYN-пакеты, чтобы брандмауэр отвечал от имени сервера Windows. (Неустановленные соединения, вы должны установить чрезмерно агрессивную поддержку активности для действительных пакетов. Практически все Syn Floods попадают в одну из этих категорий.) Затем вы можете установить порог Syn Cookie для этих типов пакетов.
Для пакетов Keep-alive стандартной частоты на них тоже должен быть быстрый ответ, но они также должны пересылаться, и ответ сервера должен быть перехвачен.
По сути, это будет использовать брандмауэр Linux для защиты SYN cookie (и, честно говоря, протокол Linux Syn cookie намного лучше. Протокол Syn cookie в Windows - дерьмо, поэтому по умолчанию он отключен в пользу просто отбрасывания пакетов).