Cookie如何計算?
cookie = MD5(srcip,dstip,sport,dport)
端口是否需要考慮哪?沒有端口的話,可以少一點計算。
Syn-cookie是無狀態的,在Gateway上,不會保存任何與connection相關的東西,所以不會占用gateway的資源,缺點就是需要計算cookie,CPU占用會高一點。
如果不考慮端口的話,cookie是不是可以cache哪,如果cache了,就有查找的開銷,并不一定比MD5的hash快多少。
在Syn-cookie之前,先要檢查一下srcip是不是spoofing的,這里需要做一個反向的路由查找,看看是不是從錯誤的接口進來的,也可以確認一下源地址是否可達。
是不是也應該做一個源端口的檢查哪?如果是0~1024的端口,就默認是非法的,因為這些端口在操作系統里面,一般是保留的,不會分配給應用程序。
Syn attack是否有signatue? 不同的syn flood工具,生成的工具包,應該有一定的模式,如果能夠找到這個signature,就可以通過signature來直接drop這個syn,不用再做syn-cookie的檢查了。
Syn-cookie會strip掉client和server的tcp option,對client,可疑在cookie里面帶上tcp option,但是對server來說,就比較難辦一點。strip掉tcp option,對connection的性能有影響。
對syn-flood的防范,目前還是threshold based,因為不能區分正常包和攻擊包,但是如果能夠定義攻擊的signature,就可以做signature based的防范,這樣可以更有效一點。