我們最近升級到 Ubuntu 16.04(核心 4.4),我注意到有關 net.netfilter.nf_conntrack_max 的一些新行為。在過去(12.04 運行 3.2),如果您達到 nf_conntrack_max,您將無法建立任何新連線。不過,我一直在對 SYN 泛洪和 SYNPROXY DDoS 防護進行一些測試。我發現在通過 SYN 洪水達到 nf_conntrack_max 後我仍然可以建立到伺服器的連線。
使用 SYNPROXY 可以使 conntrack 表保持已建立的連接,但無論有沒有它,我仍然可以毫無問題地連接到伺服器。
有人有這方面的資訊嗎?
我在 4.4 中遇到了無鎖 TCP 監聽器:
https://kernelnewbies.org/Linux_4.4#head-7c34e3af145ac61502d1e032726946e9b380d03d
我想知道這是否是其中的一部分。