Est-ce que HAProxy par défaut se protège contre les attaques TCP SYN flood ou DOS? Si non alors comment puis-je protéger HAProxy load balancer de ces attaques?HAProxy bydefault se protège-t-il contre les attaques de tcp syn flood
Répondre
Non, il ne le fait pas (si vous avez quelque chose de simple comme le examples ils fournissent ou suivent la plupart des tutoriels là-bas) mais this HAProxy blog couvre les attaques SYN flood et certaines attaques DoS.
Vous pouvez durcir votre système contre les attaques SYN au niveau du noyau avec les paramètres suivants dans sysctl:
[email protected]:~$ sysctl -a
net.ipv4.conf.all.rp_filter = 1
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 1024
net.ipv4.tcp_synack_retries = 3
La valeur max_syn_backlog peut être passé de HAProxy en utilisant le paramètre backlog:
Afin de se protéger contre les attaques SYN flood, une solution consiste à augmenter la taille du backlog SYN du système. Selon le système, parfois il est seulement réglable via un paramètre système, parfois il n'est pas ajustable du tout, et parfois le système repose sur les indications données par l'application au moment de le listen() syscall. Par défaut, HAProxy transmet la valeur maxconn à l'invite syscall listen(). Sur les systèmes qui peuvent utiliser cette valeur, il peut parfois être utile de spécifier une valeur différente, d'où le paramètre backlog.
http://cbonte.github.io/haproxy-dconv/1.6/configuration.html#4.2-backlog
BTW, cette question appartient à serverfault.com – fstennet