我们最近升级到 Ubuntu 16.04(内核 4.4),我注意到有关 net.netfilter.nf_conntrack_max 的一些新行为。在过去(12.04 运行 3.2),如果您达到 nf_conntrack_max,您将无法建立任何新连接。不过,我一直在对 SYN 泛洪和 SYNPROXY DDoS 防护进行一些测试。我发现在通过 SYN 洪水达到 nf_conntrack_max 后我仍然可以建立到服务器的连接。
使用 SYNPROXY 可以使 conntrack 表保持已建立的连接,但无论有没有它,我仍然可以毫无问题地连接到服务器。
有人有这方面的信息吗?
我在 4.4 中遇到了无锁 TCP 监听器:
https://kernelnewbies.org/Linux_4.4#head-7c34e3af145ac61502d1e032726946e9b380d03d
我想知道这是否是其中的一部分。