HAProxy默认情况下会保护自己免受TCP SYN洪水或DOS攻击吗?如果没有,我该如何保护HAProxy负载均衡器免受这些攻击?
没有(如果你有一些简单的东西,比如他们提供的例子或遵循大多数教程),但这个HAProxy博客涵盖了SYN洪水攻击和一些DoS攻击。
您可以在sysctl:中使用以下设置在内核级别加强系统以抵御SYN攻击
administrator@HAProxyUbuntu:~$ sysctl -a
net.ipv4.conf.all.rp_filter = 1
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 1024
net.ipv4.tcp_synack_retries = 3
可以使用backlog参数从HAProxy传入max_syn_backlog值:
为了防止SYN洪水攻击,一种解决方案是增加系统的SYN囤积大小。根据系统的不同,有时只是通过系统参数可调,有时根本不可调,以及有时系统依赖于应用程序在listen()系统调用。默认情况下,HAProxy传递前端的maxconn值到listen()系统调用。在能够利用该值的系统上有时能够指定不同的值是有用的,因此backlog参数。
http://cbonte.github.io/haproxy-dconv/1.6/configuration.html#4.2-积压