Недавно мы обновились до Ubuntu 16.04 (ядро 4.4), и я заметил некоторое новое поведение в отношении net.netfilter.nf_conntrack_max. Раньше (с 12.04, работающим с 3.2), если вы нажимали nf_conntrack_max, вы не могли устанавливать новые соединения. Однако я провел некоторые испытания с SYN-флудом и защитой SYNPROXY DDoS. Я обнаружил, что после нажатия nf_conntrack_max посредством SYN-флуда я все еще могу устанавливать соединения с сервером.
Использование SYNPROXY сохраняет таблицу conntrack для установленных соединений, но с ним или без него я все равно могу подключиться к серверу без проблем.
Есть ли у кого-нибудь информация по этому поводу?
Я столкнулся с неблокируемыми TCP-прослушивателями в версии 4.4:
https://kernelnewbies.org/Linux_4.4#head-7c34e3af145ac61502d1e032726946e9b380d03d
Мне интересно, является ли это частью этого.