默认情况下,HAProxy是否会保护自己免受TCP SYN泛洪或DOS攻击?如果没有,那么我如何保护HAProxy负载均衡器免受这些攻击?
答案 0 :(得分:1)
不,它没有(如果你有简单的东西,比如他们提供的examples或者大多数教程),但是this HAProxy博客涵盖了SYN泛洪攻击和一些DoS攻击。
您可以使用sysctl中的以下设置强化您的系统以抵御内核级别的SYN攻击:
administrator@HAProxyUbuntu:~$ sysctl -a
net.ipv4.conf.all.rp_filter = 1
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 1024
net.ipv4.tcp_synack_retries = 3
可以使用backlog参数从HAProxy传入max_syn_backlog值:
为了防止SYN泛洪攻击,一种解决方案是增加 系统的SYN积压大小。取决于系统,有时它只是 通过系统参数可调,有时它根本不可调节 有时系统依赖于应用程序在给定时提供的提示 listen()系统调用。默认情况下,HAProxy传递前端的maxconn值 到listen()系统调用。在可以使用此值的系统上,它可以 有时能够指定不同的值,因此这是有用的 积压参数。
http://cbonte.github.io/haproxy-dconv/1.6/configuration.html#4.2-backlog