2010-01-22 iptablesのconntrackをパンクさせる ソフトウェア Linux 今手がけている案件でiptablesのconntrackの動きを調査していたのですが、 rawsocketでOSのプロトコルスタックを使わず、 勝手に3way handshakeをものすごい勢いで行う専用ツールを使うと、 短期間でconntrackのエントリーがip_conntrack_maxに達してしまう様子がみれます。 専用のIDSなんかでは防げるのでしょうが、 iptablesだけで対応できないのかなぁと思いますが、 今のところ完全な対処法は見つかってません。なかなか奥が深いです。