Linuxはまだ接続追跡制限を適用しますか?

Linuxはまだ接続追跡制限を適用しますか?

最近Ubuntu 16.04(カーネル4.4)にアップグレードしましたが、過去(3.2を実行している12.04)net.netfilter.nf_conntrack_maxに。nf_conntrack_maxしかし、私はSYN FloodingとSYNPROXY DDoS保護についていくつかのテストを行ってきました。 SYN Flood経由でnf_conntrack_maxに達した後でも、サーバーへの接続を確立できることがわかりました。

SYNPROXYを使用すると、conntrackテーブルは確立された接続を維持できますが、それを使用しても使用しなくても問題なくサーバーに接続できます。

誰もこれについての情報を持っていますか?

編集する

4.4でロックされていないTCPリスナーに会いました。

https://kernelnewbies.org/Linux_4.4#head-7c34e3af145ac61502d1e032726946e9b380d03d

それも一部なのかと思います。

答え1

接続されたソケットでポートの再利用モードおよび/または非ブロックモードが有効になっている場合は、実際に制限を超えても接続が可能になる可能性があります。

関連情報