netfilter.ip_conntrack在内核中使用是否有助于缓解 (d)DoS 攻击,还是会使情况变得更糟?
我知道它增加了跟踪连接等的功能,但只是好奇它是否有帮助,或者只是通过阻碍连接而使攻击变得更糟。
答案1
取决于你的优先事项。
从某种意义上说,它将使您的机器不会死机,因为一旦达到net.ipv4.netfilter.ip_conntrack_max,机器将简单地停止接受连接,而不是超载。
这会使情况变得更糟,因为您的机器将停止接受连接。
在我自己的大部分高流量服务器上,我都卸载了 ip_conntrack 内核模块。如果您不将其功能用于 NAT 之类的用途,则无需将其激活。
答案2
不,这只会让情况变得更糟。填满 ip_conntrack 表是让服务器离线的一种相对简单的方法,攻击者知道这一点。