Linux默认设置通过立即发送RST来拒绝ip fragmented SYN,我也尝试过使用ddos保护的antiddos云服务和托管服务提供商,看起来他们完全忽略了这些数据包。
我正在编写使用netmap处理10gbit的antiddos过滤器,并且想知道静默忽略碎片化ip数据包是否安全,或者它们可能出现在合法用户身上?因为我不知道如何以10gbit的速度有效地重新组装和过滤这些数据包
答案 0 :(得分:0)
任何节点或路由器都可以分段IPv4 PDU。奇怪的是TCP SYN消息可以被分段为,没有选项,其长度将是40个八位字节。但是,您可能需要查看RFC 7413: TCP Fast Open,它允许SYN和SYN / ACK消息传送数据。
在IPv6中,只有源节点可以对PDU进行分段。