私は最近Ubuntu 16.04(カーネル4.4)にアップグレードしましたが、net.netfilter.nf_conntrack_maxに関連するいくつかの新しい動作が見つかりました。過去(3.2を実行する12.04)では、nf_conntrack_maxに達すると新しい接続を作成できませんでした。しかし、私はSYN FloodingとSYNPROXY DDoS保護についていくつかのテストを行ってきました。 SYN Flood経由でnf_conntrack_maxに達した後でも、サーバーへの接続を確立できることがわかりました。
SYNPROXYを使用すると、conntrackテーブルは確立された接続を維持できますが、それを使用しても使用しなくても問題なくサーバーに接続できます。
誰もこれについての情報を持っていますか?
4.4でロックされていないTCPリスナーに会いました。
https://kernelnewbies.org/Linux_4.4#head-7c34e3af145ac61502d1e032726946e9b380d03d
それも一部なのかと思います。