Wir haben vor Kurzem ein Upgrade auf Ubuntu 16.04 (Kernel 4.4) durchgeführt und mir ist ein neues Verhalten in Bezug auf net.netfilter.nf_conntrack_max aufgefallen. In der Vergangenheit (mit 12.04 und 3.2) konnten Sie keine neuen Verbindungen herstellen, wenn Sie nf_conntrack_max erreichten. Ich habe jedoch einige Tests mit SYN-Flooding und SYNPROXY-DDoS-Schutz durchgeführt. Ich habe festgestellt, dass ich nach dem Erreichen von nf_conntrack_max durch ein SYN-Flooding immer noch Verbindungen zum Server herstellen kann.
Durch die Verwendung von SYNPROXY wird die Conntrack-Tabelle auf bestehende Verbindungen beschränkt, aber mit oder ohne SYNPROXY kann ich trotzdem problemlos eine Verbindung zum Server herstellen.
Hat jemand Informationen hierzu?
Ich bin in 4.4 auf TCP-Listener ohne Sperren gestoßen:
https://kernelnewbies.org/Linux_4.4#head-7c34e3af145ac61502d1e032726946e9b380d03d
Ich frage mich, ob das ein Teil davon ist.