| From | Thomas Petazzoni <thomas dot petazzoni at enix dot org> |
| Subject | Re: [gulliver] SSH, sécurité, les questions, ça vient toujours après :) |
| Date | Sun, 27 Apr 2008 21:31:54 +0200 |
Le Fri, 18 Apr 2008 11:58:34 +0200, "David MENTRE" <dmentre at linux-france dot org> a écrit : > Morale de l'histoire : les SYN cookies permettent de supporter un TCP > SYN flood sur un PC récent sans aucun problème. Ce n'est pas la charge > CPU pour calculer les SYN cookies qui pose problème (la machine était > à 48% idle sous top durant le long test). Si j'ai bien compris le principe des syncookies, ils ne créent pas de charge CPU. Au lieu de créer une structure en mémoire pour mémoriser le fait qu'une connexion est en train d'être ouverte (et stocker quelques informations sur cette connexion), alors on ne fait rien en mémoire. On renvoie simplement dans un champ spécial du SYN-ACK ces quelques informations, que le client ouvrant la connexion nous retransmettra lors du ACK. En gros, si j'ai bien saisi, ça détourne un champ de l'entête TCP pour renvoyer les informations d'état au client de manière à ce qu'il les retransmette au ACK et qu'on n'ai donc pas besoin de les sauvegarder. Soucis: le nombre de bits qu'on peut se faire renvoyer de la sortie est limité. Du coup, certaines fonctionnalités TCP ne peuvent pas être gérées avec syncookies. Mais des astuces ont récemment été trouvées pour contourner cela. Ma source d'info: http://lwn.net/Articles/277146/ (J'ai rédigé le mail de mémoire, sans relire l'article en question. Pour les vraies informations exactes véritables vérifiées et valides, lire l'article, pas mon charabia). Bonne soirée, Thomas -- Thomas Petazzoni, thomas dot petazzoni at enix dot org, http://thomas.enix.org Jabber, thomas dot petazzoni at jabber dot dk Toulibre, http://www.toulibre.org - APRIL, http://www.april.org Fingerprint: 0BE1 4CF3 CEA4 AC9D CC6E 1624 F653 CB30 98D3 F7A7
Attachment:
signature.asc
Description: PGP signature