LAN 服务器上的 SYN Cookies - 可以/建议禁用吗?

LAN 服务器上的 SYN Cookies - 可以/建议禁用吗?

我们正在研究调整我们的一个局域网盒上的 linux tcp 堆栈。

我们想知道在没有任何外部(例如“互联网”)访问权限的服务器上禁用 SYN cookie 是否可以/是否可取。

通过 禁用仅 LAN 服务器上的 syn cookies 可以吗net.ipv4.tcp_syncookies

答案1

SYN cookies 默认是禁用的。这应该是您应该做什么的合理指示,除非您有相反的具体知识。更具体地说,tcp(7)说

syncookies 功能尝试保护套接字免受 SYN 洪水攻击。如果有必要,这应该作为最后的手段使用。这违反了 TCP 协议,并且与 TCP 的其他领域(如 TCP 扩展)相冲突。它可能会给客户端和中继带来问题。不建议将其作为重负载服务器的调整机制来帮助解决过载或配置错误的情况。

答案2

我不确定你是否做得对。

如果您有某些需求或问题(然后说出来 :),则调整 tcp 堆栈,否则保持原样。为什么要禁用 syncookies?您期望的好处是什么?

相关内容