SYNPROXY：最廉价的抗DoS攻击方案

对于防御Dos攻击来说，我这辈子都不一定能见到完美的解决方案。虽然，有成吨的商用防火墙，可以有效的防御Dos攻击，但是他们都太贵了。作为一个学术型人才，我倾向于使用简单廉价的组合来解决问题—x86+GNU/Linux。在linux 3.13内核中加入了SYNPROXY这个功能，它的实现基于netfilter framework 和 connection tracking 模块。

我猜测，他会把来自客户端的初始SYN包标记成UNTRACKED然后直接导入iptables的"SYNPROXY"的动作(类似ACCEPT,NFQUEUE和DROP)，这时内核会扮演网关设备的角色继续跟客户端进行TCP的常规握手流程，SYNPROXY会等到最终的ACK(三次握手)的cookie被验证合法后才会开始让包真正的进入目标端。

Jesper Dangaard Brouer曾给我我一份上个月DEVCON的 报告，根据里面的内容，我和同事也做了实验，结果还不错。

下面是测试结果，大家随意感受一下

平台: Debian, SLES-12-beta2
硬件: Laptop, Server, 100Mbps Switch
工具: hping3, metasploit
root@d6-test:/home/shawn# iptables -t raw -A PREROUTING -i eth0 -p tcp --dport 8888 --syn -j NOTRACK
root@d6-test:/home/shawn# iptables -A INPUT -i eth0 -p tcp --dport 8888 -m state --state UNTRACKED,INVALID -j SYNPROXY --sack-perm --timestamp --mss 1480 --wscale 7 --ecn
echo 0 > /proc/sys/net/netfilter/nf_conntrack_tcp_loose
结果:
不使用 SYNPROXY: ksoftirq is around 8%-9%
使用 SYNPROXY: ksoftirq is less than 3%

[本文由FreeBuf小编蓝蓝进行采编与翻译]