One type of Denial of Service attack is known as a SYN flood, in which an attack is launched for the purpose of exhausting a system's resources, leaving it unable to establish legitimate connections. The BIG-IP system's SYN CHECK feature works to alleviate SYN floods by sending cookies to the requesting client on the server's behalf, and by not recording state information for connections that have not completed the initial TCP handshake. This unique feature
И так далее.
Админу, который поставил LB, и не наладил на нем health checks, надо отрывать конечности.
Это может быть еще и OpenBSD'шный pf со включенным synproxy. На FreeBSD ео портировали тоже. Фича та же - устанавливает соединение сначала сам, соответственно, чтоб данные не ходили, пока он не закончит, используется нулевое окно.
Эти бы, однако, использовали стандартный SYN cookie, наверное, а тут - что-то задумчивое. Думаю, все же, f5: с них бы сталось сделать свою имплементацию, без постоянных битов, чтобы дополнительно озадачить потенциальных хакеров.
Ну дык, популярная штука вполне, наравне с киской. Я совершенно не удивлюсь, если солидный (?) провайдер layer42.net пользуется этим делом для своих клиентов.
http://www.f5.com/solutions/technology/pdfs/BIGIPV9Security_White_Paper.pdf
One type of Denial of Service attack is known as a SYN flood, in which an attack is
launched for the purpose of exhausting a system's resources, leaving it unable to establish
legitimate connections. The BIG-IP system's SYN CHECK feature works to alleviate SYN
floods by sending cookies to the requesting client on the server's behalf, and by not
recording state information for connections that have not completed the initial TCP
handshake. This unique feature
И так далее.
Админу, который поставил LB, и не наладил на нем health checks, надо отрывать конечности.
Reply
Насчет конечностей согласен стопроцентно.
Reply
Reply
Reply
Reply
Reply
Reply
Reply
Reply
Leave a comment