Wenn ich für den Linux-Kernel 2.6.32 diese Einstellung vornehme, net.ipv4.tcp_syncookies = 1wird diese dann immer verwendet oder nur während eines SYN-Flood-Angriffs?
Ich habe zwei Quellen gefunden, die das Gegenteil behaupten.
1:
"Bei der Verwendung von SYN-Cookies treten jedoch zwei Einschränkungen in Kraft. Erstens ist der Server auf nur 8 eindeutige MSS-Werte beschränkt, da dies alles ist, was in 3 Bits kodiert werden kann. Zweitens muss der Server alle TCP-Optionen (wie große Fenster oder Zeitstempel) ablehnen, da der Server den SYN-Warteschlangeneintrag verwirft, in dem diese Informationen sonst gespeichert wären. [1]
Diese Einschränkungen führen zwar zwangsläufig zu einer suboptimalen Erfahrung, ihre Auswirkungen werden von den Clients jedoch kaum bemerkt, da sie nur bei Angriffen angewendet werden. In einer solchen Situation wird der Verlust der TCP-Optionen zur Rettung der Verbindung normalerweise als vernünftiger Kompromiss angesehen."
2:
„Der Nachteil ist, dass nicht alle TCP-Daten in das 32-Bit-Sequenznummernfeld passen, sodass einige für eine hohe Leistung erforderliche TCP-Optionen möglicherweise deaktiviert sind.“ Dies bedeutet, dass Optionen wie selektive ACKs und TCP Window Scaling nicht funktionieren, wenn Sie SYN-Cookies aktivieren, selbst wenn Ihr Server derzeit nicht angegriffen wird.“
Antwort1
Die zweite Quelle
„das bedeutet, dass Optionen wie selektive ACKs und TCP Window Scaling nicht funktionieren, wenn Sie SYN-Cookies aktivieren, selbst wenn Ihr Server derzeit nicht angegriffen wird“
ist einfach Blödsinn, bis
„TCP: request_sock_TCP: Mögliches SYN-Flooding auf Port 53. Cookies werden gesendet. SNMP-Zähler prüfen“
passiert, dass nichts deaktiviert ist.
Dies lässt sich leicht beweisen, indem Sie Ihre Leistung mit iperf3 vergleichen und „net.ipv4.tcp_sack“ und „net.ipv4.tcp_window_scaling“ aktivieren/deaktivieren, während „net.ipv4.tcp_syncookies = 1“ aktiviert bleibt.
Warum lesen Sie zufällige Quellen statt der offiziellen? https://www.kernel.org/doc/Documentation/networking/ip-sysctl.txt
tcp_syncookies - BOOLEAN
Only valid when the kernel was compiled with CONFIG_SYN_COOKIES
Send out syncookies when the syn backlog queue of a socket
overflows. This is to prevent against the common 'SYN flood attack'
Default: 1
Note, that syncookies is fallback facility.
It MUST NOT be used to help highly loaded servers to stand
against legal connection rate. If you see SYN flood warnings
in your logs, but investigation shows that they occur
because of overload with legal connections, you should tune
another parameters until this warning disappear.
See: tcp_max_syn_backlog, tcp_synack_retries, tcp_abort_on_overflow.
syncookies seriously violate TCP protocol, do not allow
to use TCP extensions, can result in serious degradation
of some services (f.e. SMTP relaying), visible not by you,
but your clients and relays, contacting you. While you see
SYN flood warnings in logs not being really flooded, your server
is seriously misconfigured.