Здравствуйте! Спасибо за интересный вопрос. Сама технология SYN-cookie не будет влиять на отслеживание состояний соединений firewall, он всё так же будет видеть и обрабатывает SYN, SYN‑ACK, ACK независимо от того, как именно TCP‑стек внутри хоста хранит состояние.
Но при SYN-flood сам firewall может стать "бутылочным горлышком" и его таблица может быть переполнена. В идеале SYN cookies должны отрабатывать до попадания пакета в межсетевой экран.
Да, тут важно постоянно контролировать наличие защиты. Может быть ситуация, когда ее нелегитимно выключили.
Про контейнер: мы сами сталкивались с кейсом, когда конфигурация сервера была изменена, а контейнеры, которые были подняты на нем ранее ее не переняли.
Вы правы, при помощи средств управления конфигурациями можно включить SYN Cookies. Но использование предложенного способа контроля упрощает построение мониторинга, так как он не требует авторизации на сервере и работает даже если был отрыт порт контейнера, в котором настройка не применилась.
Здравствуйте! Спасибо за интересный вопрос.
Сама технология SYN-cookie не будет влиять на отслеживание состояний соединений firewall, он всё так же будет видеть и обрабатывает SYN, SYN‑ACK, ACK независимо от того, как именно TCP‑стек внутри хоста хранит состояние.
Но при SYN-flood сам firewall может стать "бутылочным горлышком" и его таблица может быть переполнена. В идеале SYN cookies должны отрабатывать до попадания пакета в межсетевой экран.
Да, тут важно постоянно контролировать наличие защиты. Может быть ситуация, когда ее нелегитимно выключили.
Про контейнер: мы сами сталкивались с кейсом, когда конфигурация сервера была изменена, а контейнеры, которые были подняты на нем ранее ее не переняли.
Здравствуйте! Спасибо за комментарий.
Вы правы, при помощи средств управления конфигурациями можно включить SYN Cookies.
Но использование предложенного способа контроля упрощает построение мониторинга, так как он не требует авторизации на сервере и работает даже если был отрыт порт контейнера, в котором настройка не применилась.