web-dev-qa-db-ja.com

LANサーバー上のSYNクッキー-Ok /無効にすることをお勧めしますか?

私たちは、LANボックスの1つでLinuxのTCPスタックを調整することを検討しています。

外部(「インターネット」など)アクセスがないサーバーでSYNCookieを無効にしても問題ないかどうか疑問に思っていました。

net.ipv4.tcp_syncookiesを介してLAN専用サーバーでsyncookieを無効にしても大丈夫ですか?

linuxtcpsysctl
1
anonymous-one

SYNクッキーはデフォルトで無効になっています。それは、反対の特定の知識がない限り、あなたが何をすべきかを合理的に示しているはずです。より具体的には、 tcp(7)は言う

Syncookies機能は、SYNフラッド攻撃からソケットを保護しようとします。仮にあったとしても、これは最後の手段として使用する必要があります。これはTCPプロトコルの違反であり、TCP拡張機能などのTCPの他の領域と競合します。クライアントとリレーに問題を引き起こします。負荷の高いサーバーのチューニングメカニズムとして、過負荷または設定ミスの状態を支援することはお勧めしません。

4
womble

あなたがそれを正しい方法でやっているかどうかはわかりません。

いくつかの必要性またはいくつかの問題がある場合(それからそれを言う:)、それ以外の場合はtcpスタックを微調整します。なぜsyncookiesを無効にするのですか?期待しているメリットは何ですか?

1
cstamas