我们有一个带有固态驱动器的 linux 服务器 (Debian-Lenny),没有经典硬盘。他用作路由器,因此流量仅用于转发。
我们希望监控连接以找到一些同步泛洪。Netstat 可以帮助我们,但是我们有很多流量,大约 150 Mbit/s,而在 '/proc/net' 中查看的 netstat 会阻止流量,所以这不是我们可以使用的方法。实际上,我们使用带有“hashlimit-*”的 iptables 规则来验证:从一个来源开始,每分钟没有太多的连接。但不容易调整,因为对于我们背后的一些网络来说“太多”。
有人知道我们能做什么吗?
感谢您的帮助,
从一个网站:
PP 的回答非常好,但您可能不想在最后实施“DROP”规则,直到您确定要丢弃的流量。监控 LOG 规则,并确认您没有丢弃合法流量。
如果您担心 syn-flood,您可能需要考虑启用 syn-cookie。Syn cookie 缓解了使用半开连接填充连接表的问题。一个很好的描述是在http://cr.yp.to/syncookies.html