В этой книге мы неоднократно затрагивали проблемы, связанные с SYN — переполнением ТСР-стека. Web-сервер, как и любая другая подключенная к Internet машина, обязана иметь встроенный механизм понижения эффективности направленной SYN-атаки. Одно из решений заключается в увеличении очереди соединений, что эффективно подавляет непродолжительные и относительно слабые атаки. Другой подход основан на изучении программных обновлений, «заплаток», которые решат эту проблему за вас. Практически все производители операционных систем предлагают соответствующие обновления. Далее мы поговорим об опции synguard, которой снабжена система LocalDirector. Эта опция позволяет администратору задать максимальное число полуоткрытых соединений в очереди, после превышения которого включается встроенный механизм защиты от SYN-нападения.
По умолчанию эта опция выключена, а число полуоткрытых соединений не определено.
Для инициализации synguard достаточно ввести следующую инструкцию (в режиме конфигурации):
Здесь аргумент virtual_id представляет собой имя и порт виртуального сервера, a count — максимальное количество полуоткрытых соединений в очереди. Чтобы отключить synguard, установите для аргумента count значение О или выполните команду: Сокрытие адресов с помощью NAT-преобразования LocalDirector поддерживает технологию преобразования сетевых адресов (NAT). Это позволяет использовать для группы защищаемых серверов адреса локальной сети, не маршрутизируемые в Internet, что автоматически скрывает от внешнего пользователя их реальные адреса. Рекомендация RFC-1918 резервирует для локальных сетей три интервала адресов, называемых Частными или Внутренними. IP-адреса из этих промежутков не маршрутизируются в Internet и перед отправкой в глобальную сеть изменяются на зарегистрированные. С помощью технологии NAT внутренние адреса преобразуются в регистрируемые и наоборот. Основное преимущество NAT заключается в том, что для потенциального взломщика осложняется задача восстановления внутренней архитектуры атакуемой сети.
