我们最近升级到 Ubuntu 16.04(内核 4.4),我注意到一些关于net.netfilter.nf_conntrack_max.在过去(12.04 运行 3.2),如果你点击了,nf_conntrack_max你将无法建立任何新的连接。不过,我一直在对 SYN 泛洪和 SYNPROXY DDoS 防护进行一些测试。我发现在通过 SYN 洪水达到 nf_conntrack_max 后我仍然可以建立到服务器的连接。
使用 SYNPROXY 可以使 conntrack 表保持已建立的连接,但无论有没有它,我仍然可以毫无问题地连接到服务器。
有人有这方面的信息吗?
编辑
我在 4.4 中遇到了无锁 TCP 监听器:
https://kernelnewbies.org/Linux_4.4#head-7c34e3af145ac61502d1e032726946e9b380d03d
我想知道这是否是其中的一部分。
答案1
如果在连接的套接字上启用了端口的重用和/或非阻塞模式,那么即使超出限制,您也可能能够连接,而实际上实际上超出了限制...如果有,请检查防火墙过滤有关洪水的信息